Re: 変なページが勝手に立ち上がって困っています。 - 若竹亭おにぎり

2016/10/21 (Fri) 22:25:57

過去スレッド
http://ore-sama123.bbs.fc2.com/?act=reply&tid=5448031
まずはここを目を通しておいてください。

Re: 変なページが勝手に立ち上がって困っています。 - ななこ（PC）

2016/10/21 (Fri) 22:39:25

ご対応に感謝します。

ご提案通り目を通しまして、書き込みをさせていただきます。スレットを頂戴しますが、まずCCクリーナーによるメモが以下になります。

3D Builder Microsoft Corporation 2016/10/20 11.1.9.0
Adobe Flash Player 23 NPAPI Adobe Systems Incorporated 2016/10/20 19.2 MB 23.0.0.185
ASUS Xonar DG Audio ASUSTeK Computer Inc. 2016/10/20
CCleaner Piriform 2016/10/21 5.23
Groove ミュージック Microsoft Corporation 2016/10/20 3.6.25021.0
Intel(R) Processor Graphics Intel Corporation 2016/10/20 20.19.15.4501
Microsoft Office 365 - ja-jp Microsoft Corporation 2016/10/21 16.0.7167.2060
Microsoft Solitaire Collection Microsoft Studios 2016/10/20 3.12.8312.0
Microsoft Wi-Fi Microsoft Corporation 2016/10/20 1.1604.4.0
Mozilla Firefox 49.0.2 (x64 ja) Mozilla 2016/10/21 99.4 MB 49.0.2
Mozilla Maintenance Service Mozilla 2016/10/21 281 KB 49.0.2.6136
OneNote Microsoft Corporation 2016/10/20 17.7466.57631.0
OpenAL 2016/10/20
People Microsoft Corporation 2016/10/20 10.0.11902.0
Realtek High Definition Audio Driver Realtek Semiconductor Corp. 2016/10/20 6.0.1.7841
Skype を手に入れよう Skype 2016/10/20 3.2.1.0
Sway Microsoft Corporation 2016/10/20 17.7369.45141.0
Twitter Twitter Inc. 2016/10/20 5.3.5.0
Xbox Microsoft Corporation 2016/10/20 19.22.6017.0
はじめに Microsoft Corporation 2016/10/21 4.1.15.0
アプリ コネクター Microsoft Corporation 2016/10/20 1.3.3.0
アラーム & クロック Microsoft Corporation 2016/10/20 10.1608.2312.0
カメラ Microsoft Corporation 2016/10/20 2016.816.20.0
ストア Microsoft Corporation 2016/10/20 11609.1001.28.0
スポーツ Microsoft Corporation 2016/10/20 4.16.17.0
ニュース Microsoft Corporation 2016/10/20 4.16.18.0
フォト Microsoft Corporation 2016/10/20 16.722.10060.0
ボイス レコーダー Microsoft Corporation 2016/10/20 10.1608.2211.0
マップ Microsoft Corporation 2016/10/20 5.1609.2650.0
メッセージング & Skype Microsoft Corporation 2016/10/20 2.15.20002.0
メール/カレンダー Microsoft Corporation 2016/10/20 17.7369.40791.0
モバイル コンパニオン Microsoft Corporation 2016/10/20 10.1609.2561.0
天気 Microsoft Corporation 2016/10/20 4.16.15.0
新しい Office を始めよう Microsoft Corporation 2016/10/20 17.7420.23751.0
映画 & テレビ Microsoft Corporation 2016/10/20 3.6.25071.0
電卓 Microsoft Corporation 2016/10/20 10.1608.2213.0
電話 Microsoft Corporation 2016/10/20 1.10.15000.0

Re: 変なページが勝手に立ち上がって困っています。 - ななこ（PC）

2016/10/21 (Fri) 23:28:50

先ほどの情報に加えて、ほかの質問者さんとのやりとりを見つつ、行いました、HJTによるログファイルを張り付けますので、よろしくお願いします。

アドブロッカーウルトラもインストールしてみました。


Logfile of Trend Micro HijackThis v2.0.5
Scan saved at 23:22:10, on 2016/10/21
Platform: Unknown Windows (WinNT 6.02.1008)
MSIE: Internet Explorer v11.0 (11.00.10586.0596)


Boot mode: Normal

Running processes:
C:\Program Files\WindowsApps\Microsoft.Messaging_2.15.20002.0_x86__8wekyb3d8bbwe\SkypeHost.exe
C:\Windows\SysWOW64\HsMgr.exe
C:\Users\やす\Downloads\HijackThis.exe

F2 - REG:system.ini: UserInit=
O4 - HKCU\..\Run: [OneDrive] "C:\Users\やす\AppData\Local\Microsoft\OneDrive\OneDrive.exe" /background
O4 - HKCU\..\Run: [CCleaner Monitoring] "C:\Program Files\CCleaner\CCleaner64.exe" /MONITOR
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files (x86)\Microsoft Office\root\Office16\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: Se&nd to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files (x86)\Microsoft Office\root\Office16\ONBttnIE.dll
O9 - Extra button: OneNote Lin&ked Notes - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files (x86)\Microsoft Office\root\Office16\ONBttnIELinkedNotes.dll
O9 - Extra 'Tools' menuitem: OneNote Lin&ked Notes - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files (x86)\Microsoft Office\root\Office16\ONBttnIELinkedNotes.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O18 - Protocol: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\Windows\SysWOW64\mshtml.dll
O18 - Protocol: cdl - {3DD53D40-7B8B-11D0-B013-00AA0059CE02} - C:\Windows\SysWOW64\urlmon.dll
O18 - Protocol: dvd - {12D51199-0DB5-46FE-A120-47A3D7D937CC} - C:\Windows\SysWOW64\msvidctl.dll
O18 - Protocol: file - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\Windows\SysWOW64\urlmon.dll
O18 - Protocol: ftp - {79EAC9E3-BAF9-11CE-8C82-00AA004BA90B} - C:\Windows\SysWOW64\urlmon.dll
O18 - Protocol: http - {79EAC9E2-BAF9-11CE-8C82-00AA004BA90B} - C:\Windows\SysWOW64\urlmon.dll
O18 - Protocol: https - {79EAC9E5-BAF9-11CE-8C82-00AA004BA90B} - C:\Windows\SysWOW64\urlmon.dll
O18 - Protocol: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\Windows\SysWOW64\itss.dll
O18 - Protocol: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\Windows\SysWOW64\mshtml.dll
O18 - Protocol: local - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\Windows\SysWOW64\urlmon.dll
O18 - Protocol: mailto - {3050F3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\Windows\SysWOW64\mshtml.dll
O18 - Protocol: mhtml - {05300401-BCBC-11D0-85E3-00C04FD85AB4} - C:\Windows\SysWOW64\inetcomm.dll
O18 - Protocol hijack: mk - {79EAC9E6-BAF9-11CE-8C82-00AA004BA90B}
O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\Windows\SysWOW64\itss.dll
O18 - Protocol: mso-minsb-roaming.16 - {83C25742-A9F7-49FB-9138-434302C88D07} - C:\Program Files (x86)\Microsoft Office\root\Office16\MSOSB.DLL
O18 - Protocol: mso-minsb.16 - {42089D2D-912D-4018-9087-2B87803E93FB} - C:\Program Files (x86)\Microsoft Office\root\Office16\MSOSB.DLL
O18 - Protocol: osf-roaming.16 - {42089D2D-912D-4018-9087-2B87803E93FB} - C:\Program Files (x86)\Microsoft Office\root\Office16\MSOSB.DLL
O18 - Protocol: osf.16 - {5504BE45-A83B-4808-900A-3A5C36E7F77A} - C:\Program Files (x86)\Microsoft Office\root\Office16\MSOSB.DLL
O18 - Protocol: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} - C:\Windows\SysWOW64\mshtml.dll
O18 - Protocol: tbauth - {14654CA6-5711-491D-B89A-58E571679951} - C:\Windows\SysWOW64\tbauth.dll
O18 - Protocol hijack: tv - {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E}
O18 - Protocol: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\Windows\SysWOW64\mshtml.dll
O18 - Protocol: windows.tbauth - {14654CA6-5711-491D-B89A-58E571679951} - C:\Windows\SysWOW64\tbauth.dll
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Intel(R) Content Protection HECI Service (cphs) - Intel Corporation - C:\Windows\SysWow64\IntelCpHeciSvc.exe
O23 - Service: Intel(R) Content Protection HDCP Service (cplspcon) - Unknown owner - C:\Windows\system32\IntelCpHDCPSvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\DiagSvcs\DiagnosticsHub.StandardCollector.ServiceRes.dll,-1000 (diagnosticshub.standardcollector.service) - Unknown owner - C:\Windows\system32\DiagSvcs\DiagnosticsHub.StandardCollector.Service.exe (file missing)
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ieetwcollectorres.dll,-1000 (IEEtwCollectorService) - Unknown owner - C:\Windows\system32\IEEtwCollector.exe (file missing)
O23 - Service: Intel(R) HD Graphics Control Panel Service (igfxCUIService2.0.0.0) - Unknown owner - C:\Windows\system32\igfxCUIService.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SensorDataService.exe,-101 (SensorDataService) - Unknown owner - C:\Windows\System32\SensorDataService.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\TieringEngineService.exe,-702 (TieringEngineService) - Unknown owner - C:\Windows\system32\TieringEngineService.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Defender\MpAsDesc.dll,-320 (WdNisSvc) - Unknown owner - C:\Program Files (x86)\Windows Defender\NisSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Defender\MpAsDesc.dll,-310 (WinDefend) - Unknown owner - C:\Program Files (x86)\Windows Defender\MsMpEng.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 7844 bytes

Re: 変なページが勝手に立ち上がって困っています。 - 若竹亭おにぎり

2016/10/22 (Sat) 11:36:35

解析は管理人が行いますので、以降は管理人のアドバイスに従ってください。

Re: 変なページが勝手に立ち上がって困っています。 - 管理人です

2016/10/22 (Sat) 22:22:04

若竹亭さん、ありがとうございました。

＊＊＊＊
さて管理人は今、長崎市滞在です。来てみないと理解できないことも沢山あるもんです。長崎は平地が少なく、小高い小山？の斜面に家が密集している。崖の上に建っている民宿に宿泊しているんですがなんとWiMAXもE-mobileも両方とも圏外という惨状。民宿の親父さんに訊くと「無線接続は全滅で有線接続のみ」という。やれやれ、そこで民宿を飛び出し三菱重工長崎造船所の近くまで移動し、ようやくwi-fiが繋がった（ホッとした）。



❶ななこさんの説明を読みましたが、七不思議のような感染ですね。類似の事案は沢山報告されているんですが、ななこさんの場合は、それらを複合的に組み合わせたかのような不思議な感染プロセスです。ちょっとだけ逆質問しますので、簡単にお答えください

＊Windows10アップグレードをしたのですか？YESの場合Windows10アップグレード【前】のOSを教えてください。

＊今回、Windows10の「クリーンインストール」をしていますが、そのクリーンインストールをする時にHDD「全体（全領域）をフォーマット」しましたか？していませんか？フォーマットして「から」Windows10をクリーンインストールしたのですか？その辺を、記憶が残っている範囲でお答えください。

＊Windows10アップグレードをしている場合、アップグレード「前」のOSのリカバリディスクや、あるいはインストールディスクは手元にありますか？一切、そのようなものは持っていませんか？

❷重要な確認。【Office 365】をご使用されてますね？万が一、これを再インストールとなった場合、ななこさんの方で再インストール可能ですね？「マイアカウントページ」などはメモなどし、再インストール可能な状態にありますね？教えてください。

❸さて、作業指示を出します。

DVD-Rを１枚用意（USBメモリが手元にあるなら、それを使います）
http://ore-sama123.bbs.fc2.com/?act=reply&tid=5475047
「Double Driver」を使います。今、ななこさんのPCにインストールされている「ドライバ類」をバックアップしておくんです。

Double Driverを使ってドライバ類をバックアップ。Double Driver.exeも一緒にDVD-R(あるいはUSBメモリの中に）一緒に書き込みしておいてください（意味、わかりますか？）。

日本語化を希望なら「ジャミラ」さんの掲示板を熟読されてください　　http://run-tomorrow.com/%E3%80%90%E3%83%A1%E3%83%BC%E3%82%AB%E3%83%BCpc%E3%82%82ok%E3%80%91%E3%83%89%E3%83%A9%E3%82%A4%E3%83%90%E3%82%92%E4%B8%80%E6%8B%AC%E3%81%A7%E6%8A%BD%E5%87%BA%E3%81%99%E3%82%8B%E3%80%90win10%E3%82%AF/


＊Windows10の「回復ドライブUSB」を自作します。これは「空っぽ」のUSBメモリを１個、用意してください。

http://faq3.dospara.co.jp/faq/show/2840


http://moneyreport.hatenablog.com/entry/windows10_kaifuku_drive

自作方法が沢山アップされてますから、ななこさんのフィーリングに一番合致する説明サイトを選択して回復ドライブUSB自作してください（これは必須作業です）。

❹回復ドライブを自作できたら、次の作業に入ります


Windows10の「拡張子」を表示させる、設定にしてください

拡張子を表示させるんです。

http://qa.nifty.com/cs/catalog/faq_nqa/qid_15385/1.htm


＊
次、Windows10の「隠し」フォルダや「隠し」ファイルを表示させます
http://www.wannko.net/windows10/kihon/file.html

❺特攻野郎さんの質疑応答を参考にします

http://ore-sama123.bbs.fc2.com/?act=reply&tid=5471994

CCleanerでlogを採るのですが、

特攻野郎さんの質疑を参考に

↓

C Cleanerでlogを採る方法

添付写真を見てください

C Cleanerを管理者権限で起動

↓

C Cleanerの操作画面の「左側」を見てください。
「ツール」をクリックし

「スタートアップ」を選択しクリック

↓

するとC Cleanerの「タブ一覧」に→Windowsだとか、スケジュールされたタスクだとか、Internet Explorer（インストールしておればFirefox，Chromeなどのブラウザに関するタブもあるでしょうし）、コンテキストメニューもありますね？

そのlogを「全部」採取して貼り付けてください


必要なlogは
＊「Windows」
＊「スケジュールされたタスク」
＊「Internet Explorer」
＊「Firefox」
（Chromeを使っているならChromeも）
＊「コンテキストメニュー」

❻おなじく特攻野郎さんの質疑応答を参考（熟読）にしてMBAMのlogを出力して貼り付けてください

MBAMはlogだけを出力し、削除は絶対に「しないで」くださいね。


--------------------------

ところで、この「2016年年次調査」ですが、Firefoxをブラウザとして使っている時に表示されますか？それともIE?そこも詳しく教えてください。

Re: 変なページが勝手に立ち上がって困っています。 - 管理人です

2016/10/22 (Sat) 22:39:51

管理人、熊本支援を一旦切り上げ、明日大阪に向けて移動開始します。頻繁に回答できない可能性ありますが、チャンスをみて作業指示を出したいと考えています。頑張りましょう。

Re: 変なページが勝手に立ち上がって困っています。 - ななこ（PC）

2016/10/22 (Sat) 23:37:40

ご返信に感謝します。取り急ぎですが、こたえられるところだけ、ピックアップさせていただきました。

＊Windows10アップグレードをしたのですか？YESの場合Windows10アップグレード【前】のOSを教えてください

返信：その通りです。win7-win10へのアップグレードです。

＊今回、Windows10の「クリーンインストール」をしていますが、そのクリーンインストールをする時にHDD「全体（全領域）をフォーマット」しましたか？していませんか？フォーマットして「から」Windows10をクリーンインストールしたのですか？その辺を、記憶が残っている範囲でお答えください。

返信：自身、実はあまりPCには強くありませんので、友人にクリーンインストールをお願いしております。
その時に、どのようにしたのか、もう一度聞いてみますので、次の書き込みまでに確認を取ります。

＊Windows10アップグレードをしている場合、アップグレード「前」のOSのリカバリディスクや、あるいはインストールディスクは手元にありますか？一切、そのようなものは持っていませんか？

返信：OSを単体で買いましたので、今、手元にwin7のディスクがあり、シリアルも存在します。クリーンインストール用のwin10は先ほども申し上げましたが、友人に任せきりでしたので、ありません。

❷重要な確認。【Office 365】をご使用されてますね？万が一、これを再インストールとなった場合、ななこさんの方で再インストール可能ですね？「マイアカウントページ」などはメモなどし、再インストール可能な状態にありますね？教えてください。

返信：マイクロソフトアカウントを削除してしまうと、ちょっとやったことがないのでやりかたがわからないです。アカウントのIDとパスが生きている状態であれば、問題ないと思います。
その件に関してはgoogleのアカウントもオンラインストレージを使っていることを補足させてください。
最悪、こちらは全部亡くなってもいいやぁ位の気持ちですが。


※ところで、この「2016年年次調査」ですが、Firefoxをブラウザとして使っている時に表示されますか？それともIE?そこも詳しく教えてください。

返信：クリーンインストールしてみてわかったことは、
①DMMのログイン下では頻繁にアクセスが発生する。

②ログインしてなくても、新しいFLSH製ゲームが新しく始められない。

③現状態でもほかのウェブサーフィンをしている分には、ほぼほぼ現れることがない。そこらへんのアフィ満載のページやniconicoでも別に何ともありませんでした。

④滅茶苦茶重くなることがあるが、一度ネットを切断すると復活する。

⑤クリーンインストール前は、間違えてクリックしたりJAVA入れたりとやらかしてしまい、どんどん症状が悪化してしまった。

⑥⑤のプロセスを経ると、どこのページでも頻繁にリダイレクトが発生してしまう。
と、気づいたことを列挙させていただきました。現状、DMMにログインしなければ、アドブロックが抑えてくれている状態なのかな、と勝手に思っているんですが、間違っていたら、すみません。

これより、ご教授いただいた方法を一つ一つ行っていきます。取り急ぎ、こたえられることだけ、投稿させていただきました。

お忙しい時間を割いていただき本当に感謝いたします。

Re: 変なページが勝手に立ち上がって困っています。 - ななこ（PC）

2016/10/22 (Sat) 23:46:40

そうだ。肝心なことをこたえるの忘れていました。
IEやchromeで起こるかどうかは、怖いので試していません。申し訳ないです。

Re: 変なページが勝手に立ち上がって困っています。 - 管理人です

2016/10/23 (Sun) 00:02:23

返信：OSを単体で買いましたので、今、手元にwin7のディスクがあり、シリアルも存在します。クリーンインストール用のwin10は先ほども申し上げましたが、友人に任せきりでしたので、ありません。
↑

これは重要な情報ですね。最悪PCを「windows7」に復帰させることができます。ただ「ドライバ類」は、どうなのかな？というのもwindows７をインストールし直してwindows７のPCとして復帰させることは可能ですがネットワークドライバのバックアップが手元にないとインタネットに接続できないんですね。ななこさんのPCメーカーのサイトまで飛びwindows7のネットワークドライバを事前にダウンロードしてUSBメモリに保存しておくと良いです（その辺は友達に言えば、友達がダウンロードして保存してくれるはず）。

❷さて重要な手がかり

↓

①DMMのログイン下では頻繁にアクセスが発生する。　←　DMMにログインする目的は「ゲーム」をするためですか？それとも、それ以外のサービスも必要なため？


ずばりDMMと「縁を切る」ことは、可能or不可能？

その辺も、教えてください。

DMMか、、、、これ、トラブル発生の温床といっても良いほど、トラブル発生源の一つ。


❸管理人は、そろそろ、民宿に戻ります（門限を超えているため、、、冷や汗）

明日、回答できる時に回答などしますね。ななこさんも、気がついたことがあれば遠慮せず、書き込みしておいてください。それがヒントになる場合がありますんでね。

じゃあ、一旦、おやすみなさい、です。

Re: 変なページが勝手に立ち上がって困っています。 - 管理人です

2016/10/23 (Sun) 00:03:54

IEやchromeで起こるかどうかは、怖いので試していません。申し訳ないです。 ←試さなくてもOKですよ（笑）。

Firefox＋DMMログインの時に、頻繁発生ですか？

Re: 変なページが勝手に立ち上がって困っています。 - ななこ（PC）

2016/10/23 (Sun) 00:38:27

ありがとうございます。
ドライババックアップまで作業が出来ました。
回復ドライブの作成に移りたいと思います（が、今手元に残ったUSBが５１２Mしかないので、容量が足りなければ、明日買いに行きます）汗）

DMMについては、オンラインゲームを三年間累積させている事情があり、なるべくしたくない思いがあります。それ以外のサービスでダウンロードしたものに関しては何の未練も無いです。

③に関して。。
大変お疲れ様です。
長崎を拠点にして熊本支援に行っておられたとのこと。私は市民ではありませんが、感謝に堪えないです。友人が熊本に長期支援に行きましたが、様々な困難があると聞いております。ご無理をなさらないように、ご健闘をお祈りします。


>Firefox＋DMMログインの時に、頻繁発生ですか？

ログインを切った状態では、リダイレクトの兆候が見られません。アドブロックでは１０件くらいはじいている、と表示されますが、それが黒いものなのか、確認が難しいです。
何回かログインしますと、ログインした直後にリダイレクトを阻止したようなアドブロックの件数が、それはもうぐわーっと伸びたり、すり抜けてきたりしました。
クリーンインストール前はどこかしらクリックするだけで、時折リダイレクトが発生しましたが、現状ひとっ所に留まって、ゲームしてる分にはリダイレクトが出ないようです。
ログインが危ないと、感じてからは、DMMに行っていないません。

以上です。出来れば、今日中に回復ファイルの作成ができればいいと、思っています。

お疲れ様でした。

Re: 変なページが勝手に立ち上がって困っています。 - ななこ（PC）

2016/10/23 (Sun) 00:45:52

ん？　win10回復ドライブには１６G必要だって！！

ドスパラのページを数行読んで試合終了とは）涙

Re: 変なページが勝手に立ち上がって困っています。 - ななこ（PC）

2016/10/23 (Sun) 01:12:03

有効 HKCU:Run CCleaner Monitoring Piriform Ltd "C:\Program Files\CCleaner\CCleaner64.exe" /MONITOR
有効 HKCU:Run OneDrive Microsoft Corporation "C:\Users\やす\AppData\Local\Microsoft\OneDrive\OneDrive.exe" /background
有効 HKLM:Run Cmaudio8788 Microsoft Corporation C:\Windows\syswow64\RunDll32.exe C:\Windows\Syswow64\cmicnfgp.dll,CMICtrlWnd
有効 HKLM:Run Cmaudio8788GX C:\Windows\syswow64\HsMgr.exe Envoke
有効 HKLM:Run Cmaudio8788GX64 C:\Windows\system\HsMgr64.exe Envoke
というわけで（何が）、ログ採取結果のほうならば、今できますので、下記に。

windows

有効 HKLM:Run Logitech Download Assistant Microsoft Corporation C:\Windows\system32\rundll32.exe C:\Windows\System32\LogiLDA.dll,LogiFetch
有効 HKLM:Run RTHDVCPL Realtek Semiconductor "C:\Program Files\Realtek\Audio\HDA\RtkNGUI64.exe" -s

Re: 変なページが勝手に立ち上がって困っています。 - ななこ（PC）

2016/10/23 (Sun) 01:13:32

スケジュール

有効 Task Adobe Flash Player Updater Adobe Systems Incorporated C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
有効 Task CCleanerSkipUAC Piriform Ltd "C:\Program Files\CCleaner\CCleaner.exe" $(Arg0)
有効 Task OneDrive Standalone Update Task Microsoft Corporation C:\Users\やす\AppData\Local\Microsoft\OneDrive\17.3.6517.0809\OneDriveStandaloneUpdater.exe

Re: 変なページが勝手に立ち上がって困っています。 - ななこ（PC）

2016/10/23 (Sun) 01:14:57

IEのログ

有効 Extension Lync Click to Call Microsoft Corporation C:\Program Files (x86)\Microsoft Office\root\VFS\ProgramFilesX64\Microsoft Office\Office16\OCHelper.dll
有効 Extension OneNote Linked Notes Microsoft Corporation C:\Program Files (x86)\Microsoft Office\root\Office16\ONBttnIELinkedNotes.dll
有効 Extension OneNote Linked Notes Microsoft Corporation C:\Program Files (x86)\Microsoft Office\root\VFS\ProgramFilesX64\Microsoft Office\Office16\ONBttnIELinkedNotes.dll
有効 Extension Send to OneNote Microsoft Corporation C:\Program Files (x86)\Microsoft Office\root\Office16\ONBttnIE.dll
有効 Extension Send to OneNote Microsoft Corporation C:\Program Files (x86)\Microsoft Office\root\VFS\ProgramFilesX64\Microsoft Office\Office16\ONBttnIE.dll
有効 Helper Lync Browser Helper Microsoft Corporation C:\Program Files (x86)\Microsoft Office\root\VFS\ProgramFilesX64\Microsoft Office\Office16\OCHelper.dll
有効 Helper Microsoft OneDrive for Business Browser Helper Microsoft Corporation C:\Program Files (x86)\Microsoft Office\root\VFS\ProgramFilesX64\Microsoft Office\Office16\GROOVEEX.DLL

Re: 変なページが勝手に立ち上がって困っています。 - ななこ（PC）

2016/10/23 (Sun) 01:15:56

ファイアフォックスのログ


有効 Extension AdBlock Ultimate 2.23 adblockultimate.net default-1477046828611 Firefox 49.0.2 C:\Users\やす\AppData\Roaming\Mozilla\Firefox\Profiles\0lbpg5lr.default-1477046828611\extensions\adblockultimate@adblockultimate.net.xpi
有効 Extension Multi-process staged rollout 1.3 default-1477046828611 Firefox 49.0.2 C:\Program Files\Mozilla Firefox\browser\features\e10srollout@mozilla.org.xpi
有効 Extension Pocket 1.0.4 default-1477046828611 Firefox 49.0.2 C:\Program Files\Mozilla Firefox\browser\features\firefox@getpocket.com.xpi
有効 Extension Web Compat 1.0 default-1477046828611 Firefox 49.0.2 C:\Program Files\Mozilla Firefox\browser\features\webcompat@mozilla.org.xpi
有効 Plugin 1.4.8.903 Google Inc. default-1477046828611 Firefox 49.0.2 C:\Users\やす\AppData\Roaming\Mozilla\Firefox\Profiles\0lbpg5lr.default-1477046828611\gmp-widevinecdm\1.4.8.903\widevinecdm.dll
有効 Plugin OpenH264 Video Codec 1.6 Mozilla Corporation default-1477046828611 Firefox 49.0.2 C:\Users\やす\AppData\Roaming\Mozilla\Firefox\Profiles\0lbpg5lr.default-1477046828611\gmp-gmpopenh264\1.6\gmpopenh264.dll
有効 Plugin Primetime Content Decryption Module provided by Adobe Systems, Incorporated 17 Adobe Systems Inc default-1477046828611 Firefox 49.0.2 C:\Users\やす\AppData\Roaming\Mozilla\Firefox\Profiles\0lbpg5lr.default-1477046828611\gmp-eme-adobe\17\eme-adobe.dll
有効 Plugin Shockwave Flash 23.0.0.185 Adobe Systems Incorporated default-1477046828611 Firefox 49.0.2 C:\Windows\system32\Macromed\Flash\NPSWF64_23_0_0_185.dll

Re: 変なページが勝手に立ち上がって困っています。 - ななこ（PC）

2016/10/23 (Sun) 01:18:17

すいません。windowsのログをもう一度張り付けます。
削除キーを設定していなかったので、、申し訳ありません。


有効 HKCU:Run CCleaner Monitoring Piriform Ltd "C:\Program Files\CCleaner\CCleaner64.exe" /MONITOR
有効 HKCU:Run OneDrive Microsoft Corporation "C:\Users\やす\AppData\Local\Microsoft\OneDrive\OneDrive.exe" /background
有効 HKLM:Run Cmaudio8788 Microsoft Corporation C:\Windows\syswow64\RunDll32.exe C:\Windows\Syswow64\cmicnfgp.dll,CMICtrlWnd
有効 HKLM:Run Cmaudio8788GX C:\Windows\syswow64\HsMgr.exe Envoke
有効 HKLM:Run Cmaudio8788GX64 C:\Windows\system\HsMgr64.exe Envoke
有効 HKLM:Run Logitech Download Assistant Microsoft Corporation C:\Windows\system32\rundll32.exe C:\Windows\System32\LogiLDA.dll,LogiFetch
有効 HKLM:Run RTHDVCPL Realtek Semiconductor "C:\Program Files\Realtek\Audio\HDA\RtkNGUI64.exe" -s

Re: 変なページが勝手に立ち上がって困っています。 - 若竹亭おにぎり

2016/10/23 (Sun) 01:29:08

DMMのオンラインゲームであれば感染源としては薄いですね。
自分もアカウントを持っているし、ディープにはまっていたし、はまっているおば…ご婦人も設定してあげて問題なく審神者をしています。
因みに推しは加賀、朧、石切丸、日本号、山姥切り、カカカ。
山姥切りは地元なのです。DMMはこうしたオンラインゲームが好調で、アダルト系系は廃止して健全化を進めていますよ。
問題があるとすればFlashでしょうね。

回復ドライブよりもインストールメディアを使うべきでしょう。
これならば4GBのメディアで十分。回復ドライブは必ずしも作成が可能でもないです。DVDーRでも良いし。

Re: 変なページが勝手に立ち上がって困っています。 - ななこ（PC）

2016/10/23 (Sun) 01:42:59

MBAMのログになります。

Malwarebytes Anti-Malware
www.malwarebytes.org

スキャン日付: 2016/10/23
スキャン時刻: 1:29
ログファイル: MBAR.txt
管理者: はい

バージョン: 2.2.1.1043
マルウェアデータベース: v2016.10.22.05
ルートキットデータベース: v2016.09.26.02
ライセンス: 無料版
マルウェア保護機能: 無効
悪質ウェブサイト保護機能: 無効
自己防衛: 無効

OS: Windows 10
CPU: x64
ファイルシステム: NTFS
ユーザー: やす

スキャン形式: 脅威スキャン
結果: 完了しました
スキャンされたオブジェクト数: 293592
経過時間: 4 分, 33 秒

メモリ: 有効
スタートアップ: 有効
ファイルシステム: 有効
アーカイブ: 有効
ルートキット: 有効
ヒューリスティック: 有効
PUP: 有効
PUM: 有効

プロセス: 0
（なし悪意のある項目を検出）

モジュール: 0
（なし悪意のある項目を検出）

レジストリキー: 0
（なし悪意のある項目を検出）

レジストリ値: 0
（なし悪意のある項目を検出）

レジストリデータ: 0
（なし悪意のある項目を検出）

フォルダー: 0
（なし悪意のある項目を検出）

ファイル: 0
（なし悪意のある項目を検出）

物理セクタ: 0
（なし悪意のある項目を検出）


(end)

何も出ないのが、逆に怖いです。。


CCのコンテキストなんですが、何もなかったので張り付けませんでした。
では、次のご返信をお待ちしております。

Re: 変なページが勝手に立ち上がって困っています。 - 若竹亭おにぎり

2016/10/23 (Sun) 01:50:36

https://www.microsoft.com/ja-jp/software-download/windows10

Windows10インストールメディア　ダウンロードページ

Re: 変なページが勝手に立ち上がって困っています。 - ななこ（PC）

2016/10/23 (Sun) 01:58:36

若竹亭さんへ

いえ、オンゲ以外にも恥ずかしながらやってたんで、なんの弁解も出来ないです。

朧とはまた渋いですね。私は、霧島女史が好きです。アカウント消す事態になっても、運営に泣き倒して復活させて貰う位には、思いがあります。

回復ドライブについての意見もありがとうございます。

Re: 変なページが勝手に立ち上がって困っています。 - ななこ（PC）

2016/10/23 (Sun) 02:03:06

あ、リンクページもありがとうございます。

明日作業したいと思います。

カープ応援に熱が入りすぎて、ちょっと限界です（ファイターズファンだったらごめんなさい）。

Re: 変なページが勝手に立ち上がって困っています。 - 若竹亭おにぎり

2016/10/23 (Sun) 02:40:08

アカウントを消した場合は復活はまず無理です。
そしてアカウント情報はサーバーにあるのでこれに感染などの問題は無いものです。アカウントを消す理由は何もないものです。
朧は補給時のセリフにやられました。

Re: 変なページが勝手に立ち上がって困っています。 - 管理人です

2016/10/23 (Sun) 11:35:25

DMM絡みの感染事案は枚挙に暇がありません。100％無実と断言するのだけは、、ね。directに関係していなかったとしても、遠因の一つと疑うべき段階。しかし思い入れがあるといわれるので、さて、どうしましょうか？DMM絡みだと、ななこさんも、かんじているのでは？いま、タブレットからの書きこみ。思うように書き込み出来ません。　

2)windows10インストールメディアの自作でもOKです。

3)パソコンから書き込みできる場所まで移動できたら作業指示します。その間、必要な作業しておいてください。

4)IEだとか、Firefoxなどのお気に入り、ブックマークのバックアップをしておいてください。

5)MBAMのログをみてもこれという汚染源みえませんね。DMM絡みだと思いますよ。

また、あとで書き込みしますね。

Re: 変なページが勝手に立ち上がって困っています。 - ななこ（PC）

2016/10/23 (Sun) 13:36:45

管理人様へ

何度も同じようなことを書き込みになりますが、
クリーンインストールした後に「DMMログイン下で」リダイレクトが発生するのは、私のアカウント情報にトラブルが発生しているのではないか、と感じています。
今、当のPCでこうして書き込んでいても、一度も起きていない。
試しに、YAHOOで同じフラッシュで動く「編隊少女」や「ぷにき」をやっていても、問題がない。NICONICOで動画を見ていても発生しない。
となると、繰り返しなんですが、私のDMMアカウントに紐づけて攻撃してきている可能性を（素人考えですが）疑ってしまいますね。

住所変更って出来ないのかしら？　たしかにそんなことしたら、アカウントとサービスの紐づけに不具合きたしそうだけど。。ぶっちゃけ艦これが生きていれば、あとのサービスはいらんのだ。。（本音）

Re: 変なページが勝手に立ち上がって困っています。 - ななこ（PC）

2016/10/23 (Sun) 14:34:04

インストールメディアダウンロードが終了しました。

すごく基本的ですが、、「マウント」って実際にこのDVDでwindowsをインストールすることですよね。。
作業が足りてないようでしたら、お手数ですが、教えていただければ幸いです。

それでは、ご連絡お待ちしております。

Re: 変なページが勝手に立ち上がって困っています。 - 通りすがりの凡人

2016/10/23 (Sun) 16:19:47

> 私のDMMアカウントに紐づけて攻撃してきている可能性を（素人考えですが）疑ってしまいますね。

クリーンインストールしたんだし、CCのログにも変なものは無し、MBAMでも何もひかからない。

DMM参照時のスクリプトでリダイレクトされている可能性が大。

PC内に何か仕込まれている可能性は低いと思います。←　念のためにherdProtectで横断チェックしてみますか？（ http://freesoft-100.com/review/herdprotect.html ）

> 現状、DMMにログインしなければ、アドブロックが抑えてくれている状態なのかな、と勝手に思っているんですが、
そうですね。
ログインしてない状態とログインしている状態で、読み込まれるスクリプトに違いがあるのでしょうね。
（DMMアカウントは直接に関係ないとは思いますが・・・）

今現在、Firefoxのセキュリティ系アドオンは、AdBlocker Ultimateだけですよね？
広告排除系（AdBlock系）はブラックリストでの排除方式なので漏れが発生します。悪質と判断されてないのも、未知のものはブラックリストに登録されていませんから。

以下、もし試してみるのなら、リダイレクトが発生するかどうかを教えてください。
スクリプト制御のアドオンを導入。
NoScript
https://addons.mozilla.org/ja/firefox/addon/noscript/

デフォルトブロックなので、DMMドメインのみをホワイトリストに登録（許可する）　←　DMMドメイン配下のJavaScriptのみを許可するということ。
注意！）DMM参照時にDMM以外のドメインは許可しないこと。　＝　付随で参照される他のドメインのスクリプトは許可しない。
　↓
リダイレクトされない場合は、付随のドメインに何かが仕込まれている。

リダイレクトされる場合は、DMMドメインを「禁止」にしてみる。
　↓
それでリダイレクトされないのであれば、DMMドメイン配下のスクリプトに何か仕込まれている。ってこと。

それでリダイレクトされるのであれば、ＰＣ内が怪しい。

Re: 変なページが勝手に立ち上がって困っています。 - ななこ（PC）

2016/10/23 (Sun) 16:34:22

NO scriptについて。

もうちょっと細かく指示していただければ、ぜひやってみたいです。

正直、インストールしたものの、英語でよくわかんない（汗）

お手間おかけして申し訳ないです。自分でやるのも、今極度に恐れがありまして。

Re: 変なページが勝手に立ち上がって困っています。 - ななこ（PC）

2016/10/23 (Sun) 16:46:21

すいません。お手数おかけします。
やってみています。
DMM.COMだけ一時許可にして今、進入しています

Re: 変なページが勝手に立ち上がって困っています。 - 通りすがりの凡人

2016/10/23 (Sun) 16:59:01

デフォルトブロックなので、DMMドメインのみをホワイトリストに登録（許可する）　←　DMMドメイン配下のJavaScriptのみを許可するということ。
（添付画像左　「dmm.comを許可」クリック）

注意！）DMM参照時にDMM以外のドメインは許可しないこと。　＝　付随で参照される他のドメインのスクリプトは許可しない。
（添付画像右　DMMドメインを許可したことで読み込まれる付随の他ドメイン）
　↓
リダイレクトされない場合は、付随のドメインに何かが仕込まれている。

リダイレクトされる場合は、DMMドメインを「禁止」にしてみる。
（添付画像右　「dmm.comを禁止」クリック）
　↓
それでリダイレクトされないのであれば、DMMドメイン配下のスクリプトに何か仕込まれている。ってこと。

それでリダイレクトされるのであれば、ＰＣ内が怪しい。

ドメイン許可をオン・オフした各時点でページを再読み込みしてください。

Re: 変なページが勝手に立ち上がって困っています。 - ななこ（PC）

2016/10/23 (Sun) 17:00:08

艦これのページに来ると、固まりました。
弾かれているもの一覧を下記に

000.000.000.0（数字は伏せました）

ajax.googleapis.com

a-i-ad.com といういかにも怪しいドメインがはじかれいます。

twitter.com（これはゲームの埋め込みだと思いますが）

doubleclick.net

googletagmanager.com

を弾いているようです。

Re: 変なページが勝手に立ち上がって困っています。 - 通りすがりの凡人

2016/10/23 (Sun) 17:06:04

艦これは、ひとまず置いておいて、他のページでリダイレクトは発生しますか？
これの様子見。

Re: 変なページが勝手に立ち上がって困っています。 - 管理人です

2016/10/23 (Sun) 17:09:02

指示が錯綜していますね。一本化しましょう。管理人の考えは、もう少しログを取り、OSのシステムファイルなどに感染無い確認してから、zoek.exeにてインストールされているブラウザー全部を初期化。これでブラウザは初期状態になります。２)この状態を維持しつつsandboxie経由でDMMにログイン。発症すればDMM絡みで保存しているデータの【どれか】にトリガーがあると推測できますね。

ななこさん、暫く凡人さんを主任回答者として作業継続しましょうか？指示が複数飛ぶと相談者が事故を起こすからです。凡人さん、引き継ぎで指示を出して下さい、よろしくです。

Re: 変なページが勝手に立ち上がって困っています。 - ななこ（PC）

2016/10/23 (Sun) 17:16:18

通りすがりの凡人様へ

わかりやすく解説してくださり、ありがとうございます。
dmm.comだけ許可状態では、何も起きなくなりました。
試しに、いくつかのオンラインゲームを開いたり、R18ページに飛んでみたり、ｆ５してみたりしましたが、リダイレクトされませんでした。。

Re: 変なページが勝手に立ち上がって困っています。 - ななこ（PC）

2016/10/23 (Sun) 17:20:12

管理人様へ

ありがとうございます。ありがとうございます。お気遣い痛み入ります。

通りすがりの凡人様へ

ご面倒でなければ、お時間いただければ幸いです。よろしくお願いします。

Re: 変なページが勝手に立ち上がって困っています。 - 通りすがりの凡人

2016/10/23 (Sun) 17:41:17

次に、艦これ対応
艦これやってないのでよくわからないですけど。

000.000.000.0（数字は伏せました）
ajax.googleapis.com
googletagmanager.com
上記の３つを許可。

艦これ、動きますか？

Re: 変なページが勝手に立ち上がって困っています。 - ななこ（PC）

2016/10/23 (Sun) 17:55:52

ajax.googleapis.comは禁止する、以外コマンドがみあたりませんでした。
他を許可しましたところ、延々とローディングし始めたので、ページを閉じました。

Re: 変なページが勝手に立ち上がって困っています。 - 通りすがりの凡人

2016/10/23 (Sun) 18:11:53

添付画像参照

許可状態は同じになっていますか？

また、ローディングし始めの画面コピーをここに貼れますか？

Re: 変なページが勝手に立ち上がって困っています。 - 通りすがりの凡人

2016/10/23 (Sun) 18:31:50

ジョギング、飯、風呂で21時過ぎまで、オフです。
21時以降に対応しますね。すみません。

Re: 変なページが勝手に立ち上がって困っています。 - ななこ（PC）

2016/10/23 (Sun) 18:56:30

こんな感じでしょうか

Re: 変なページが勝手に立ち上がって困っています。 - 通りすがりの凡人

2016/10/23 (Sun) 21:28:46

画像真ん中にある赤fをクリック→OK、もしかしたら２度出るかも？その場合は２回、同じアクションをかける クリック→OK。
Flashなので、都度、クリックで許可が安全かも。

常時、許可にしたいのなら、NoScript「125.6.189.7」を許可でOK。

Re: 変なページが勝手に立ち上がって困っています。 - ななこ（PC）

2016/10/23 (Sun) 22:08:22

艦これが起動できました。

今のところ不審な挙動を感じません。（追記）

Re: 変なページが勝手に立ち上がって困っています。 - 通りすがりの凡人

2016/10/23 (Sun) 22:21:24

今の状態（dmm.com、ajax.googleapis.com、googletagmanager.com、203.104.209.7を許可）で、他のページでリダイレクトが発生するかを確認してください。

リダイレクト解消であれば、艦これ、他のやられているゲームが正常に動くかを一通りプレイして確認してください。

他のゲームは動かない可能性あり。
動かない場合、すみませんが、ゲーム名を教えてください。

Re: 変なページが勝手に立ち上がって困っています。 - ななこ（PC）

2016/10/23 (Sun) 22:33:30

いろんなページを開いてみましたが、リダイレクトは発生しませんでした。ほかのゲームはフラッシュが立ち上がらないです。

あんまりやってないんですが、唯一話を進めたのが「かんぱにガールズ」でしょうか。

Re: 変なページが勝手に立ち上がって困っています。 - 通りすがりの凡人

2016/10/23 (Sun) 22:56:20

「かんぱにガールズ」
たぶんですが、kanpani.jpとladsp.comを許可すれば動くと思います。

ゲーム毎に、どれを許可すればいいのかを判断するのは難しいです。目星を付けて許可していく手順なので。
「ad」が付いているドメインや、今許可しているもの以外のGoogle関連、Yahooとかは無視でOK、それ以外で選択していくわけですが、ゴミもたくさんあるんで。

今回は艦これだけはということだったので、犯人捜しをしてないですが、いろんなゲームをやるのであれば、犯人捜しをしますか？
方法）今現在、禁止しているスクリプトを一つ一つ許可してみる。
それでリダイレクトが発生したのであれば、そのドメインが犯人。


> ⑤クリーンインストール前は、間違えてクリックしたりJAVA入れたりとやらかしてしまい、どんどん症状が悪化してしまった。
この状態であったならば、PC内に不審なプログラムがインストールされている可能性が高いと思うので、徹底的にPC内の調査しなければならない状態だったと思います。

今回はクリーンインストール後なので、おそらく、その前の段階。敵はどうやって仕掛けてきているのか？
心配であれば、管理人さんに指示を仰いでください。（ブラウザー全部を初期化、sandboxie経由でDMMにログイン・・・）

「2016年年次調査」とか、それ以前に「2015年年次調査」とかもありましたよね。
ウィルス、マルウェア対策ソフトのベンダー情報見ても、ハッキリとした原因、対処が書いてあるのを見たことがない。
入り口がランダムに発効されていて追跡しきれていないのでは？

カスペルスキーが防いでくれたとか？
https://goo.gl/M4YPWR
それ、PC内の不審物に反応してるんじゃなくて、参照時のURLに反応しているだけだから。。。
敵が、スクリプトでランダムにURL変えてきたら対応できないですから、根本的な対処になってないですよね。

本当は、DMMとかの大手ゲームサイトや大手動画サイト（スクリプト使いまくりのサイト）とかで、スクリプトの許可・不許可は面倒くさくてやりたくない。信用して全部許可にしたいところ。
何なんだDMM、大手なのに情けない。

Re: 変なページが勝手に立ち上がって困っています。 - ななこ（PC）

2016/10/23 (Sun) 23:14:03

＞今回は艦これだけはということだったので、犯人捜しをしてないですが、いろんなゲームをやるのであれば、犯人捜しをしますか？
方法）今現在、禁止しているスクリプトを一つ一つ許可してみる。
それでリダイレクトが発生したのであれば、そのドメインが犯人。

とのこと。個人的にはリスクが伴うのと、その後、やはり掃除しなければならないことには変わりないと感じますので、抜本的な解決を図りたく思います。
恐らく、管理人さんが仰ったプランが安全かつ徹底的なのだろう、と、文面からですが推察しますが、どうなのでしょう。

本当にお世話になります。

Re: 変なページが勝手に立ち上がって困っています。 - 通りすがりの凡人

2016/10/23 (Sun) 23:19:01

> 管理人さんが仰ったプランが安全かつ徹底的なのだろう

そうですね。
それが良いと思います。

その上で、またリダイレクトが発生するのであれば、DMM上で読み込まれているスクリプト関連が原因なので、今回やった対処をすればいいと思います。


管理人さん、横やり、本当にすみませんでした。
お願いしても宜しいでしょうか？

Re: 変なページが勝手に立ち上がって困っています。 - 管理人です

2016/10/23 (Sun) 23:48:41

凡人さん、遠慮せずさらに指示継続してください。可能性は2つでしょうね。レジストリに書き込まれていれば、scriptブロックは対処療法。しかし、現時点では明快な証拠がない。であればscriptブロックして様子見して今後の作業をかんがえると。scriptブロック中なのにリダイレクトされたら、その時MBAMを起動させログを採っみてください。herd protectのscan指示も出して下さい。各種toolも駆使して下さい、指示継続してください。

Re: 変なページが勝手に立ち上がって困っています。 - 管理人です

2016/10/24 (Mon) 00:02:39

2016年年次調査←テンプfolderに住み着いていたという報告ありますね。レジストリとテンプfolderに住み着いている可能性は否定出来ませんよ。けどcleanインストールして速攻でアドウエア感染発症しているのだからDMM絡みで保持しているデータですよ。DMMのアカウントが問題なのではなくて、ゲームをするに必要なものを取り込む過程でアドウエア感染発症しますね。

Re: 変なページが勝手に立ち上がって困っています。 - 管理人です

2016/10/24 (Mon) 00:07:51

今回は艦これだけはということだったので、犯人捜しをしてないですが、いろんなゲームをやるのであれば、犯人捜しをしますか
方法）今現在、禁止しているスクリプトを一つ一つ許可してみる
それでリダイレクトが発生したのであれば、そのドメインが犯人。←一つずつ許可しリダイレクト発症したら、観念して、そのゲームは捨てる、という決断出来ますか？YESなら凡人さん、作業継続し、黒判定して削除してください。宜しくです。

Re: 変なページが勝手に立ち上がって困っています。 - 通りすがりの凡人

2016/10/24 (Mon) 00:56:35

管理人さんへ。

今回の件は、本当に申し訳なく思っています。

herd protectのscan。ブラウザの初期化程度しか、考えてません。
それも含めて、他にも徹底的にやって、出てくる可能性は低いと思うのですが。

> 2016年年次調査←テンプfolderに住み着いていたという報告ありますね。

申し訳ないですが、その情報が見れるサイトを教えて頂けますか？

> レジストリとテンプfolderに住み着いている可能性は否定出来ませんよ。けどcleanインストールして速攻でアドウエア感染発症しているのだからDMM絡みで保持しているデータですよ。DMMのアカウントが問題なのではなくて、ゲームをするに必要なものを取り込む過程でアドウエア感染発症しますね。

確かにそれ怪しいですよね。
だけど、ゲームをするのに必要なものをクリアした時点で、ゲームデータはパーになるのでは？

仮に、それを駆除しても、DMM配下に大元（最初）の感染源であるのであれば、また、やられるような？
艦これではなくても、他のゲーム参照時にやられた可能性とか。

> それでリダイレクトが発生したのであれば、そのドメインが犯人。←一つずつ許可しリダイレクト発症したら、観念して、そのゲームは捨てる、という決断出来ますか？

艦これに必須のドメインは指定しているのだから、他のドメインは無視していいものでは？
ゲーム実行に関係のないドメインを許可して、リダイレクト発症しても、ゲームを捨てるということにはならないと思うのですが。

またゲームに必要なドメインでリダイレクトが発生するのであれば、そのゲームそのものがやばいわけで。
どうなんでしょう？

Re: 変なページが勝手に立ち上がって困っています。 - 通りすがりの凡人

2016/10/24 (Mon) 02:25:05

艦これの（今のデータでの）継続使用が大前提になっているので、先にやったスクリプトの対処になっています。

> 管理人の考えは、もう少しログを取り、OSのシステムファイルなどに感染無い確認してから、zoek.exeにてインストールされているブラウザー全部を初期化。これでブラウザは初期状態になります。２)この状態を維持しつつsandboxie経由でDMMにログイン。発症すればDMM絡みで保存しているデータの【どれか】にトリガーがあると推測できますね。

「ゲームをするのに必要なものを取り込む過程のアドウエアを駆除する」方法というのが、ぜんぜんピンときていません。
DMM絡みで保存しているデータの【どれか】にトリガーがあると推測できたとしても、艦これを継続する前提で、どういう対処をするのか？という部分。

管理人さんのご指摘の通り、クリーンインストール後なので、レジストリの可能性は低く、ゲーム関連ファイルのチェックになると思うのですが、それって個別事象だし、ツール類の網にかかる可能性はとても低いと思うのですが。
結果、herd protectのscanくらいしか思いつかないです。数打ちゃ当たるというか。それでも、たぶん見つからないと思っています。

私が横やりを入れたことが管理人さんを怒らせてしまったようですが、今後は掲示板に一切口を挟まないので、ななこさんを助けてやってください。

管理人さん、本当にすみません。
ななこさんもお手数おかけして、すみませんでした。

Re: 変なページが勝手に立ち上がって困っています。 - 若竹亭おにぎり

2016/10/24 (Mon) 02:32:21

少なくとも艦これ、刀剣乱舞でこれが出たことはないですね。
他にちょっとプレイしただけ、登録しただけのものは
銀河英雄伝説、ストライクウィッチーズ、お城プロジェクト、しんけん！、九十九姫。

DMMも健全化を進めているし、現状で危険なものは無くなったと思いたいけど。アダルト系は一切手を出していないのでそっちがどうかは確信無し。
艦これはDMMでもぶっちぎりの人気タイトルなので攻撃を受けるのも十分にあるけど。
ゲームデータはすべてサーバにあるので端末が初期化されても、変更されてもプレイは可能なのでその心配は無いです。

Re: 変なページが勝手に立ち上がって困っています。 - 管理人です

2016/10/24 (Mon) 12:29:43

あれれ？凡人さん、巨大な誤解をしているようですね（苦笑）。管理人はね、以前から一つの相談には一人の回答者が担当するという路線を支持している人間なんですよ。今は消えてしまいましたが「アダ被」というお助け掲示板がありました（伏魔殿と同じ性質のサイトです）。そこの方針が「一つの相談に、一人の回答者」でした。管理人も、基本的にそれが正しいと思っているんです。

ですから知恵袋でも複数回答が乱立したときは、交通整理していましたし、メイン回答者が決まった段階で自分は回答を控えるという主義でした。最近だと伏魔殿でも何度か提案の書き込みを繰り返していますよ。伏魔殿には「三毛猫」という荒らしの類が存在していた時期があり、ivnoさんや悪代官さんが回答すると、直後にそれと真逆の作業指示を出すものだから相談者が混乱してしまい、大失敗に発展したこともあるほどなんです。それを眺めていた自分は「これは本当にマズいなあ」と思い、直接「一つの質問には一人の回答者を基本路線としてみては？」と直言しました。ところが、当初IVNOさんらに誤解されましてね。感情的な反論を返されて、自分も四苦八苦したことがあります（苦笑）。管理人である悪代官さんを自分が「批判している」とIVNOさんらは解釈したためでした。


自分はね？悪代官さんを批判したのではなくて、１）およそ三毛猫のような回答するレベルに到達していない怪答者がエキスパートであるIVNO,悪代官さんらの回答を全否定する方向からの真逆の作業指示が飛んだのでは、相談者が混乱するだけだ。２）アダ被の先例を参考に、作業指示は１つに絞り継続性を持って指示するべきだ、という趣旨を指摘しただけだったんです。つまり「相談者のための掲示板なんだから、相談者が混乱しない回答体制を構築するべきだ」と言いたかったわけです。

いまでも、この考えは間違っていないと確信していますし、この考えは当掲示板の「初期」段階でも何度か管理人がコメントしています。システム構築だとかハードウエア構成がメインの相談だと判断した場合は若竹亭さん、マルウエア分野はhiさんという風に主任回答者を分け、あとは各人は管理人も含めサポートする側に廻る。


凡人さんは、当掲示板のこのようなやり取りの時期を見ていなかったから、知らないんだと思うんですよ。


今回も当掲示板の「哲学」に従い、回答者は一本化。DMMのゲームに思い入れがあるななこさんの希望も考慮すれば「ゲームを廃棄」させるに忍びなく、まずはリダイレクトと、リダイレクト先への接続を一旦遮断すると。

script遮断は有効な指示だと見ています。ただ、既述したようにレジストリに書き込まれるなどしている場合は、対処療法となります。でも現時点では、そこが明確化されていませんよね。よって凡人さんの指示の通り、ゲームを一つずつ許可し、リダイレクトされたら、そのゲームは諦めて一旦削除する。これを繰り返すことで、悪性なモノを排除できる可能性があるわけです。合理的だと思います。


しかし「もしも」DMM絡みで収集したデータは廃棄したくない、、、、という主張であれば、うーん、打つ手はなくなりますね。

＊
あるいは？

現実環境をクリーンにしておき、ゲームのときだけ仮想化環境設定して、その仮想化環境の中でゲームを行う？仮想化環境の中でゲームが動けば（動いてくれれば）の話なんですが。管理人はゲームをしない人なので、仮想化環境でゲームが起動するのか、そこは全くわかりません。


＊＊＊
凡人さんが指摘している「toolを駆使しても、多分、何も出てこない」と、実は管理人も思っています。というのも汚染源は、ななこさんが保有しているDMM絡みの保存データだと見ているからです。それを廃棄せず（思い入れがあるからできない）、アクセスする度、発症するを繰り返しているんだと見ています。その根拠は「クリーン」インストールしたのに同じ症状が発症している、という点からです。

ななこさんを責めているわけではないので、ここも誤解なきよう、お願いしますね皆さん。


＊＊＊
かといってリダイレクトされたゲームを廃棄してゆけば「ゲームができないじゃん！」という声も、その通りですね。


ここまでくると、ななこさんが決めるべき性質かなと（外野があれこれ、いうのではなくて）。


＊＊＊＊

ただし既述したように現実環境はクリーンにしておいて、DMMは仮想化環境（sandboxie）で起動させてみる、という考えはあるかもしれません（発症しても、仮想環境にとどまるため）。


＊＊＊


【私が横やりを入れたことが管理人さんを怒らせてしまったようですが、今後は掲示板に一切口を挟まないので、ななこさんを助けてやってください】　←これは、とんでもない「誤解」ですよ、誤解、６階（寒）。誤解です、苦笑。

管理人にとって凡人さんは「大切」な当掲示板の回答者さん。立腹するわけがない。

むしろ、このまま主任回答者を継続しherd protectのscanも行い、作業続行をお願いしたいと思いますよ。遠慮されず、どしどし、先に進んでください。

管理人はサポートする側に回ります(以前、spamが殺到したのでアク禁ワードを設定したら（エアジョーダンという単語を一つ登録しただけ）なんと当掲示板の1984さんが一切投稿できなくなったらしく（管理人は知りませんでした）、大騒ぎになっていました。しかし管理人はその騒ぎを知らず、他の掲示板にて某怪答者と一騎打ちを繰り返しており、当掲示板を留守にしていたんです。暫くして当掲示板に戻るとなんと1984さんが垢banされたと大騒ぎになっている。当掲示板管理人は垢banなどしませんよ（藁）。そんなことしません。エアジョーダンとアク禁ワードを設定したら、アクセス不能になっていたというだけでした。今回も管理人は熊本から移動で船に乗っていたのでタブレットしか手元になく＋無線wifiが接続不能になる時間帯があるなど、当掲示板へのアクセスが困難でした。

まあそんな背景事情もあったんです。今、ようやくPCから普段の環境で掲示板にアクセスできる状態になって覗き見したら、凡人さんが大きな勘違いをしていたというわけ。


（藁）


＊＊＊
妥協案ですが、DMM絡みで集めたデータ類を「外付けHDD」のようなモノにバックアップし保存。で、凡人さんの指示の元、リダイレクトされたゲームを廃棄。それを繰り返してゆく。残ったゲームは一応「安全」と判断し、今後も遊べる。


しかし廃棄したゲームは「黒に近いグレー」とみなし現実環境下では起動させず、仮想化環境で遊んでみる？ってのは、いかがですか、皆さん。

廃棄したといっても外付けHDDには「全部のデータ」がバックアップされているんだから本質的には廃棄したことには、なっていないわけだし。だめですかね？

Re: 変なページが勝手に立ち上がって困っています。 - 管理人です

2016/10/24 (Mon) 12:39:20

2016年年次調査←テンプfolderに住み着いていたという報告ありますね

↑
これ管理人の勘違いかもしれません。他の詐欺広告事案の情報を、年次調査の案件と誤解していたかも？

でもテンプフォルダを念のために調べてみるのもアリ。リダイレクトされたときですが。


❷ところで「艦これ」でリダイレクト発症がなくなり、ななこさん的には、現状でOKという状態なんでしょうか？

Re: 変なページが勝手に立ち上がって困っています。 - 管理人です

2016/10/24 (Mon) 12:46:57

herd protectのscan。ブラウザの初期化程度しか、考えてません。　←であれば、凡人さん、まず、それを徹底して指示出してください。ブラウザ初期化などまで行い＋scriptでブロック状態維持。


これで様子を見ましょうか。

(業務連絡。管理人、本日早朝大阪復帰。しかし長期間の支援活動のため疲労困憊。これから仮眠します。あとの作業指示、よろしくお願います。疲れた、とても）。

Re: 変なページが勝手に立ち上がって困っています。 - 通りすがりの凡人

2016/10/24 (Mon) 16:02:12

もう一度、最初から読み返してみました。

> ＊今回、Windows10の「クリーンインストール」をしていますが、そのクリーンインストールをする時にHDD「全体（全領域）をフォーマット」しましたか？していませんか？フォーマットして「から」Windows10をクリーンインストールしたのですか？その辺を、記憶が残っている範囲でお答えください。
↓
> 返信：自身、実はあまりPCには強くありませんので、友人にクリーンインストールをお願いしております。
その時に、どのようにしたのか、もう一度聞いてみますので、次の書き込みまでに確認を取ります。

これの回答が見当たりませんでした。
そもそも、これまでの話は、HDD「全体（全領域）をフォーマット」のクリーンインストールされていることが大前提だったので、確認必須。
ななこさん、ご回答、よろしくお願いします。（思い込みで話を進めてしまっていて申し訳なかったです。迂闊でした。）

------------------------------------------------------
以下は、クリーンインストールされていた場合の話。

> 現実環境はクリーンにしておいて、DMMは仮想化環境（sandboxie）で起動させてみる、という考えはあるかもしれません（発症しても、仮想環境にとどまるため）。

ご指摘の通り、今の環境はレジストリ等が汚染されている可能性が低いとしても、完全にそうだとはいいきれないので。
仮想化環境（sandboxie）で起動させてみるにしても、もう一度、現実環境のクリーンインストールが必要ですね。面倒くさいかも。

どうせ仮想環境を作るのであれば、VMware等の仮想PC上にOSインストールも選択肢だと思います。
ここが主点）今の環境はそのまま使用できて（クリーンインストールを再度やる必要なし）、別の環境が作れるわけで。

確実に真っさら状態の環境であり、スナップショット復元で簡単にリカバリ可能。DMMのゲーム環境が犯人なのかの確認が取れるかなと。

問題点としては、ななこさんのPC環境で仮想PCがまともに動くのか？メモリが最低8Gあれば大丈夫だとは思いますが、やってみないとわからない。特にゲームとかは重いのかも？私はゲームやらないからわからないです。
また、ゲーム時、常時仮想PCを使うのであれば、OSのラインセンスが別途、必要。
犯人捜しをやるだけなら、ライセンスなしでいいと思います。（管理人さん、人に勧めるのはマズイですか？）
注意）今現在、使用しているOSのライセンスは使えません。

クリーンインストールをかけるのであれば、仮想化環境（sandboxie）でいいと思いますが、ゲーム実行できるのかまでは私にはわかりません。仮想PC（VMware）派なので試したくないです。（表の環境汚したくないので）

------------------------------------------------------
若竹亭さん、管理人さん、ななこさんへの確認事項

若竹亭さん
> ゲームデータはすべてサーバにあるので端末が初期化されても、変更されてもプレイは可能なのでその心配は無いです。

管理人さん
> DMMのアカウントが問題なのではなくて、ゲームをするに必要なものを取り込む過程でアドウエア感染発症しますね。
> 廃棄したといっても外付けHDDには「全部のデータ」がバックアップされているんだから本質的には廃棄したことには、なっていないわけだし。だめですかね？

混乱してます。
DMMのゲーム環境に関連するファイルは、PC上にも何らかがあるのでしょうか？
ここ、それなりの大事なポイントだと思うのですが、よくわからなくなったので。回答、よろしくお願いします。

------------------------------------------------------
先週入院した後で仕事が溜まっており、特に今日、明日（病院で心臓のストレステストなるものをやるので）、明後日は、時間がまったく取れません。
今週は難しいかも。できるだけ時間を取るようにはしますが、返事の遅れあるかもです。
クリーンインストールになった場合は、他の方、対応、お願いします。

Re: 変なページが勝手に立ち上がって困っています。 - 通りすがりの凡人

2016/10/24 (Mon) 16:06:30

ななこさんへ。
herd protectのscanは、クリーンインストールの確認が取れた後で。

クリーンインストールされていないのであれば無駄足ですが（クリーンインストールしろって事）、一応、herd protectの実行、ログの取り方。
インストール、スキャンは以下を参照。
http://freesoft-100.com/review/herdprotect.html

スキャン完了後、Save Resultsクリック（添付画像参照）でディスクトップにでもログを保存しておいてください。保存したらアプリ終了。
絶対に削除処理はかけないこと。

Re: 変なページが勝手に立ち上がって困っています。 - 管理人です

2016/10/24 (Mon) 20:06:03

仮眠しました（まだ疲労感があります）。


ええと凡人さん

まずね？herd protectのscan＋ブラウザ初期化、をお願いします。テンプフォルダの掃除も。まずはそこまでやってみて、その後のことは、そこまで進んだら、ななこさの希望もあると思うのでななこさんの本音も聞いた上で考えてみては？（仮想環境構築の案件も含め）。どうでしょう？

Re: 変なページが勝手に立ち上がって困っています。 - ななこ（PC）

2016/10/24 (Mon) 23:07:01

すいません。ご心配おかけします。

友人に問い合わせたところ、過去の時間をさかのぼってお伝えする必要も感じましたので、順を追って下記に。


PCがてんやわんやになり、友人にクリーンインストールを頼む。

友人一度目のクリーンインストール。このときはメイン領域、システム領域共にフォーマットする

帰ってくる。色々自分で復旧。その時、自分で登録したソースネクストのセキュリティーソフトをインストール中に突然、リダイレクト。
ブラウザをリフレッシュしたりしたものの、やはりおかしいので、再度クリーンインストールをお願いする。

友人二度目のクリーンインストール。そのとき、システム領域には手を出さず。


このような経緯がありました。この判断が正しいか、正しくないかは、私より皆さんのほうがお詳しいかとは思います。


通りすがり様へ
なんだか、意思疎通の面で、困難が生じており、非常に心が痛いです。
まずご自愛くださいますように。治療に専念なさってください。

私としましては、管理人様がお時間に余裕が生まれたときに、お願いできれば幸いに存じます。とりあえず、このno scriptガード戦法は、かなり防御効果が高いと見受けられますので、安心しております。

とにもかくにも、皆さんお忙しそうなので、長い文章や、素人の相手は骨が折れるかと思われます。
しばらくこの掲示板を貼ったり、経過報告があればお知らせしますので、

皆さんご自愛くださいますように

Re: 変なページが勝手に立ち上がって困っています。 - 管理人です

2016/10/25 (Tue) 03:13:50

凡人さんに時間の余裕が生まれるまで、待機といたしましょう。

Re: 変なページが勝手に立ち上がって困っています。 - 若竹亭おにぎり

2016/10/25 (Tue) 03:27:32

通りすがりの凡人さん
心カテお疲れさまでした。
次はアイソトープ？
自分も爆弾抱えているので、姿が見えなくなったら心筋梗塞で逝ったなと思ってくださいね~。

DMMのオンラインゲームは基本的にブラウザのみでプレイできるもので、IDとパスワードがあればどの端末でもプレイ可能です。ブラウザのキャッシュクリアしてしまえば一応はクリーンになります。基本的には毎回読み込み直し。
ゲームによってはUnity Web Playerが必要。
このUnityは問題児で、
http://forest.watch.impress.co.jp/docs/news/724943.html
サポートも打ち切りになるので使うべきものではないです。
自分もUnity対応のゲームは中止しています。

Re: 変なページが勝手に立ち上がって困っています。 - 通りすがりの凡人

2016/10/25 (Tue) 06:39:04

ななこさんへ。
herd protectでscanをかけてログを取得、掲示板にログを提示しておいてください。

若竹亭おにぎりさん、回答ありがとうございました。了解です。
私は心臓の血管の一つが細くなっているとのこと。自覚症状がないのでとりあえず経過観察になりました。
今日ストレステストをやってきます。自覚症状ないけど、お前が鈍いだけなのでは？ということですかね。
ドラック漬けの毎日。多くの薬を本当に飲み続ける必要があるのか？それも怖いんじゃ？とか。
心筋梗塞とかはすぐにどうのこうのではないけど、そうなる確率は高いってことですよね。散々に、脅されまくりでした。。。

Re: 変なページが勝手に立ち上がって困っています。 - 通りすがりの凡人

2016/10/25 (Tue) 07:36:23

ななこさんへ

> 友人一度目のクリーンインストール。このときはメイン領域、システム領域共にフォーマットする
> 帰ってくる。色々自分で復旧。その時、自分で登録したソースネクストのセキュリティーソフトをインストール中に突然、リダイレクト。
> ブラウザをリフレッシュしたりしたものの、やはりおかしいので、再度クリーンインストールをお願いする。
> 友人二度目のクリーンインストール。そのとき、システム領域には手を出さず。

１．確認ですが、書かれているシステム領域とはシステムドライブ（Cドライブ）の事ですか？メイン領域はデータドライブ（Dドライブ）の事ですか？
わからなかったら、PCのドライブ構成を教えていただければ、いいです。Cドライブだけですか？（外付け除く）

２．「ソースネクストのセキュリティーソフトをインストール中に突然、リダイレクト」というのは、ゲーム関係なしにリダイレクトが発生したのですか？状況がよく見えないのですが。

３．ブラウザをリフレッシュは、キャッシュのクリア後に、Firefoxのリフレッシュ機能を使用しましたか？違うのであれば、どういうやり方で？
https://support.mozilla.org/ja/kb/refresh-firefox-reset-add-ons-and-settings

Re: 変なページが勝手に立ち上がって困っています。 - ななこ（PC）

2016/10/25 (Tue) 18:24:50

herd protectでscanの結果です。とりあえずログだけを投稿します。

Saved date: 2016/10/25 18:21:46
Files detected: 8
Files scanned: 8,688
Processes scanned: 56
Modules scanned: 912
ASEPs scanned: 531
Downloads scanned: 0
Deep analysis: 9/0
---------------------------------------------------------------------------------

Files

---------------------------------------------------------------------------------

File path: c:\users\やす\downloads\adwcleaner_6.030.exe
Publisher:
Signer: ToolsLib
MD5: 121f06c1da71965212f3b6c13c17c514
SHA-1: 45cbe2bef2e20e95d372a5a85112471107f483db
Created: 2016/10/21 23:15:41
Detections: 2
Determination: Ignore detections (false positive)
- Invincea as virus.win32.sality.at (Undefined)
- Clam AntiVirus as Win.Trojan.Philadelphia-1 (Undefined)

---------------------------------------------------------------------------------

File path: c:\users\やす\downloads\hijackthis.exe
Publisher: Trend Micro Inc.
MD5: 47811d50390a86a17102d7496e6eabb9
SHA-1: 2623749cdb27887f6746acdee7e8065475f8b541
Created: 2016/10/21 23:19:33
Detections: 2
Determination: Ignore detections (false positive)
- Kingsoft AntiVirus as Win32.HeurC.KVM099.a.(kcloud) (Undefined)
- Rising Antivirus as PE:Trojan.VBInject!1.6546 (Undefined)

---------------------------------------------------------------------------------

File path: c:\users\やす\downloads\xonar_dg_8_1_8_1823_win10_formal\xonar_dg_8_1_8_1823_win10_formal\win10\program\cmelv.dll
Publisher:
MD5: b8a4dbefa9bf89a4819944117f59fb88
SHA-1: 7b22b31f601ddbaae4f6d6f6272f783d00277292
Created: 2012/09/27 9:12:22
Detections: 1
Determination: Ignore detections (false positive)
- Jiangmin as Adware/HotBar.y (Adware)

---------------------------------------------------------------------------------

File path: c:\users\やす\downloads\xonar_dg_8_1_8_1823_win10_formal\xonar_dg_8_1_8_1823_win10_formal\win10\softwaredriver\dll\hssrv.dll
Publisher: C-Media Electronics Inc.
MD5: 1cb2f37f3a13fa1389ed068007d65693
SHA-1: 0d0ea9fd2801127adfb5066aff58ede71cd882b7
Created: 2012/01/06 9:30:04
Detections: 1
Determination: Ignore detections (false positive)
- XVirus List as Win.Detected (Undefined)

---------------------------------------------------------------------------------

File path: c:\windows\syswow64\hssrv.dll
Publisher: C-Media Electronics Inc.
MD5: 1cb2f37f3a13fa1389ed068007d65693
SHA-1: 0d0ea9fd2801127adfb5066aff58ede71cd882b7
Created: 2016/10/20 23:11:47
Detections: 1
Determination: Ignore detections (false positive)
- XVirus List as Win.Detected (Undefined)

---------------------------------------------------------------------------------

File path: c:\windows\syswow64\hssrv2.dll
Publisher: C-Media Electronics Inc.
MD5: 1cb2f37f3a13fa1389ed068007d65693
SHA-1: 0d0ea9fd2801127adfb5066aff58ede71cd882b7
Created: 2016/10/20 23:11:47
Detections: 1
Determination: Ignore detections (false positive)
- XVirus List as Win.Detected (Undefined)

---------------------------------------------------------------------------------

File path: c:\program files\ccleaner\lang\lang-1049.dll
Publisher:
MD5: 96d6fa60a861faa4b0e81d1defeaf9a7
SHA-1: 139cb1cc734925329f1f77147395f6ca7cecc4b8
Created: 2016/09/29 1:26:04
Detections: 1
Determination: Ignore detections (false positive)
- The Hacker as Trojan/PSW.Kates.bw (Undefined)

---------------------------------------------------------------------------------

File path: c:\program files\ccleaner\lang\lang-1053.dll
Publisher:
MD5: d8299ae91a547c73a51b5c37a693b3c6
SHA-1: a24e100fa3c00cf40b541395256503770b0bae88
Created: 2016/09/29 1:25:56
Detections: 1
Determination: Ignore detections (false positive)
- The Hacker as Trojan/Spy.Zbot.avkc (Undefined)

Re: 変なページが勝手に立ち上がって困っています。 - ななこ（PC）

2016/10/25 (Tue) 19:14:37

通りすがり様へ

①Cドライブ内のシステムパーティションのことです。

②はい。その時、リダイレクトが別要因で起こりました。ですから二度目のクリーンインストールをしたわけです。その結果、現状になっております。

③その通りです。firefoxのリフレッシュ機能を使用しています。

Re: 変なページが勝手に立ち上がって困っています。 - 通りすがりの凡人

2016/10/25 (Tue) 19:26:54

ななこさんへ

herd protectのscan結果、サウンドカードのドライバー関連と、adwcleaner、hijackthis、ccleanerのファイルが誤検出擬き出てきてるだけで、何も検出されてないですね。

--------------------------------

> 「一度目のクリーンインストール」帰ってくる。色々自分で復旧。

これアプリケーションのインストール以外に何かやりましたか。すべて教えてください。
たとえば、バックアップから何らかのファイル、フォルダを戻したとか。

> ②はい。その時、リダイレクトが別要因で起こりました。ですから二度目のクリーンインストールをしたわけです。その結果、現状になっております。

「一度目のクリーンインストール後」から、「ソースネクストのセキュリティーソフトをインストール中に突然、リダイレクト」の間に、DMM関連にアクセスしましたか？

Re: 変なページが勝手に立ち上がって困っています。 - 通りすがりの凡人

2016/10/25 (Tue) 20:15:20

ななこさんへ

たいへん申し訳ないのですが、追加で質問です。

PCの構成ですが、内蔵ハードディスクにCドライブの他にDドライブとかがあったりしますか？
外付けのハードディスクは使用していますか？
ブラウザのキャッシュとか、システム、アプリの作業領域をCドライブ以外に割り当てていたりしますか？

Re: 変なページが勝手に立ち上がって困っています。 - 管理人です

2016/10/25 (Tue) 21:20:37

ななこさんへ

http://www.pc-master.jp/words/partition.html

スニッピングツールを使って写真撮影し、投稿してください

Re: 変なページが勝手に立ち上がって困っています。 - ななこ（PC）

2016/10/25 (Tue) 23:09:17

すいません。お待たせしました。

ttp://go.data1rtb.com/afu.php?id=469237&var=554363&sz=554363


タブレットでグーグルアプリをいじっていましたら、ここに飛ばされそうになりました。（h抜き）

それから、試しにfire foxのブロックを切ってみたのですが、DMM以外でリダイレクトがなるようになってしまいました。
なんだか振り回すみたいでごめんなさい。
画像もお送りします。

Re: 変なページが勝手に立ち上がって困っています。 - 通りすがりの凡人

2016/10/25 (Tue) 23:36:40

ななこさんへ

2016/10/25 (Tue) 19:26:54と20:15:20の質問、大事なところなので、他の回答もすべて、お願いします。

-------------------------------------------
> タブレットでグーグルアプリをいじっていましたら、ここに飛ばされそうになりました。

えっと、タブレットって今問題にしているPCってことですか？別物？

Re: 変なページが勝手に立ち上がって困っています。 - 通りすがりの凡人

2016/10/26 (Wed) 00:17:43

回答を待ったほうがいいのかな？とも思いましたが。

先に、管理人さん、皆さんのご意見をお聞かせください。

ハードディスクが初期化された上でのクリーンインストールされた状態が大前提の話でしたが、これ根本的に怪しくないですか？
クリーンインストールされていなのでは？
上書きインストール？ハードディスクは初期化されていない？

現状のPC内部の汚染についていは、色々なツールでPC内を探っても、何も見つからないと思うのですよね。見つかったとしてもすべてを見つけるのは無理。
ツールは原因要素がある程度、判明しているからこそ、それを引っかけて、あぶり出せるわけで。「年次調査」の類いは、感染経路や仕組みが何も明らかになってないですし。
他の掲示板、Q&A等をみても、「年次調査」を根本的に解決、解明できたのを見たことがない。
私の技術では無理だし、無駄だと思うことはやりたくない。

状態が悪化してますかね。。。もう一度調べ直しますか？根本部分は解決しないと思うけど。

結論を言えば、確実にクリーンインストールして、セキュリティを固めたほうがいいと思うのですが。

どうでしょうか？

今日はもう眠い。すみません。

Re: 変なページが勝手に立ち上がって困っています。 - ななこ（PC）

2016/10/26 (Wed) 00:36:48

すいません。雲隠れしちゃってみたいで。

先ほどの、事案から、なんかルーターまわり危ないんじゃないか、と思って、調べましたら見事にビンゴしちゃいまして。作業してました。

http://fuji35.blog.so-net.ne.jp/2016-08-16

というサイトで、説明されていますが、該当のロジッテク製品を使っている人で、ファームウェアの更新をしないと、ＤＮＳのアドレスが勝手に書き変わってしまう危険があるという事案で、見事に自分に当てはまっていました。で、自分の使ってるルータのファームウェアを更新して、ルータを初期化し、ＰＡＳＳを変更したところ、沈静化した模様です。

今、とりあえずノートンでスキャンは掛けたのですが、ほかにやるべきことがあるでしょうか。。

Re: 変なページが勝手に立ち上がって困っています。 - 通りすがりの凡人

2016/10/26 (Wed) 00:47:52

ぎゃぁ～、私、大恥ですね。

ルーターですか？考えもしなかった。
PCを調べても出てこないわけですね。

リダイレクトの件は、すべて解消の認識でいいのでしょうか？

ななこさん、ご迷惑をおかけしてすみませんでした。

管理人さん、私、勉強不足ですね。
すみません。
ここにいるの恥ずかしくなっちゃいました。

Re: 変なページが勝手に立ち上がって困っています。 - 管理人です

2016/10/26 (Wed) 00:49:14

自分の使ってるルータのファームウェアを更新して、ルータを初期化し、ＰＡＳＳを変更したところ、沈静化した模様です。

↑

ではFirefoxの広告ブロッカーを一旦、停止へ。

好きなだけネットに繋ぎ、あっちこっちにアクセス繰り返しリダイレクトされるかされないか？数日間、行ってください。

Re: 変なページが勝手に立ち上がって困っています。 - 管理人です

2016/10/26 (Wed) 00:52:35

凡人さん。まだ結論出すのは早いですよ。ルーターをリセット処理して一件落着となるか、ならないか、まだこの段階ではわからないと思いますよ。「2016年次調査」などは別にルーター廻りとは無関係に発症している現象ですし、取り敢えずFirefoxの広告ブロッカーを切って、普段の通りにネットアクセスして、リダイレクト現象が発生しないのか？確認してみましょうよ。

Re: Re: 変なページが勝手に立ち上がって困っています。 - ななこ

2016/10/26 (Wed) 00:55:56

了解しました。
引き続き、宜しくお願いします。

皆様のご厚意にまず、感謝します。

Re: 変なページが勝手に立ち上がって困っています。 - 通りすがりの凡人

2016/10/26 (Wed) 01:06:32

管理人さん、了解です。

なんですけど、今回のルータの件、情報収集不足というか、考えもしなかったことに衝撃受けています。（しょげています）

>「2016年次調査」などは別にルーター廻りとは無関係に発症している現象ですし

ですね。
感染経路、形態がわかってないのは何とも辛いですけど。

今回の件、DMMを犯人にしたのは、間違いだったのでしょうね。確実にそうだとはいいきれないけど、たぶん。
DMMさん、ごめんなさい。

何だかなぁ。。。

Re: 変なページが勝手に立ち上がって困っています。 - 通りすがりの凡人

2016/10/26 (Wed) 01:35:32

ルーターの件、今回の様に端末で現象が出れば、気づく可能性もあるのだろうけど、単に踏み台にされているだけの場合、まったく気づかないんでしょうね。怖すぎ。

Re: 変なページが勝手に立ち上がって困っています。 - 管理人です

2016/10/26 (Wed) 02:01:44

今回の件、DMMを犯人にしたのは、間違いだったのでしょうね。確実にそうだとはいいきれないけど、たぶん。
DMMさん、ごめんなさい。

↑

DMMそれ自体に問題があるとは断言できないんですが、でもね、この間、様々な掲示板でDMM絡みでの感染（疑惑も含めて）事案に関して「100％全く関係ない」とも言い切れない。管理人は白だとは見ていません。「グレー部分を含んでいる」と長年、見てきました。本件に関しては、今の時点で白黒を判断したり断定的に結論づけるのはちょっと早いと感じているんです。

ななこさんが蓄積してきたゲームに関するデータの内容それ自体も、すべて調べてみたわけでもありませんしね。

AというサイトからCにリダイレクトされる場合に、実はBというサイトにリダイレクトされるよう「ひと工夫」されていて、その待ち構えているBの中に「不正広告」が埋め込まれていれば（さらにリダイレクトされることになる）「2016年次調査」のサイトまでひとっ飛び、ということになります。この手法ならPCを解析したってlogには何も出てきません。

特攻野郎さんの案件でもOriginがAdwareを「ひょっこりと」表示させてましたよね。

Re: 変なページが勝手に立ち上がって困っています。 - 管理人です

2016/10/26 (Wed) 02:03:24

>「2016年次調査」などは別にルーター廻りとは無関係に発症している現象ですし

↑

現に管理人の環境でも数回、ひょっこりと「年次調査」が表示されたことがあります。これ、ルーターとは全く関係ない出来事での発症でしたから。

Re: 変なページが勝手に立ち上がって困っています。 - 管理人です

2016/10/26 (Wed) 02:10:42

感染経路、形態がわかってないのは何とも辛いですけど。

↑

例えばですけど。

❶HDDをフォーマットしてからWindows10をクリーンインストールした。
DMM絡みのデータは全部廃棄した。新しくクリーンインストールしたWindows10にDMM関係のデータは一切引き継いでいない。

↓

その状態で「2016年次調査」などが頻繁に発症するようなら「ルーターのファームウエア非更新」がリダイレクトの原因と推定可能。

❷HDDがフォーマットされていなかった＋DMM絡みのデータをWindows10環境下でインストールし使っている＋ルーターファームウエア非更新」

↓

どれが汚染源なのか、ちょっと推測は困難だ


---------------------------------------
という風に、幾つかの組み合わせが考えられると思うんですね。これをすべて一つひとつ、潰していったわけじゃない現時点で、XXが汚染源だと断定は、ちょっとできないわけです。

Re: 変なページが勝手に立ち上がって困っています。 - 通りすがりの凡人

2016/10/26 (Wed) 09:15:47

> ❷HDDがフォーマットされていなかった＋DMM絡みのデータをWindows10環境下でインストールし使っている＋ルーターファームウエア非更新」
> ↓
> どれが汚染源なのか、ちょっと推測は困難だ

ですね。

「一度目のクリーンインストール　→　ソースネクストのセキュリティーソフトをインストール中に突然、リダイレクト」なんじゃ、それ？、クリーンインストールされてないのでは？　でしたし。

ルーターファームウエアの穴に思いが至らなかったので、
PC内の駆除は無理と判断して、確実にクリーンインストールしなおすことを提案した次第です。

-----------------------------------------------

ななこさんが蓄積してきたゲームに関するデータの内容「それ自体」が怪しいかどうかを調べる方法。

クリーンインストールされているのならば、ブラウザのキャッシュ等は関係なく、また、DMMのデータはオンライン上にありますよね。
↓
仮想PC上に新規OS環境を構築してゲーム実行してみれば、すぐにわかると思います。
オンライン上のデータに問題があるのならば、同じく発症するでしょうし。
仮想環境をスルーするような強敵でなければですけど。

（ななこさんの今回の場合、クリーンインストルされていたとしても、ルーターファームウエアの穴があったわけで、その時点でPC内が汚染されている可能性もあるし、判別するのは無理。）

ななこさんのPC上に、指示しながら仮想環境を構築するのは時間もかかるし難しいかなと。（そもそも、ななこさんのPCが仮想環境を動かすだけのパフォーマンスがあるのかという問題もありますね。）

問題のDMMアカウントを貸してもらえるなら、こちらでチェックしますよ。（仮想環境だけでなく実環境でも検証してもいいです）

これ、お互いに嫌なことですけど。
チェック完了後、パスワード変更してもらえばいいわけですが、以降、DMMアカウントに関して、何かあっても私を疑わない保証があるのであれば、こちらはOKです。

Re: 変なページが勝手に立ち上がって困っています。 - 通りすがりの凡人

2016/10/26 (Wed) 11:05:39

>「2016年次調査」などは別にルーター廻りとは無関係に発症している現象ですし
↓
> 現に管理人の環境でも数回、ひょっこりと「年次調査」が表示されたことがあります。これ、ルーターとは全く関係ない出来事での発症でしたから。

同じ認識です。
何度も、はっきりとした発症経路、感染形態がわかってないと書いています。

PC内が汚染されていなくても、広告にスクリプト埋め込まれていてランダムに発生させているから出てくるんでしょうね。
広告排除でヒットする確率は減ると。完全には防ぎきれないんだけど。スクリプトブロックしている人は遭遇しないと。

PC内が汚染されているかどうかの見極めは、とても難しですね。
検査しても、あぶり出せないと思うし。
広告排除していても、頻発するのなら、クリーンインストールをおすすめしますよ。

今回は、ルーターのファームウェアでしたけど。（クリーンインストールが確実にされていて、かつルーターファームウェア絡みでのPC内部の汚染が免れているのなら、沈静化すると思う。主の原因はルーターでしょう？）

Re: 変なページが勝手に立ち上がって困っています。 - 管理人です

2016/10/26 (Wed) 15:33:54

【PC内が汚染されていなくても、広告にスクリプト埋め込まれていてランダムに発生させているから出てくるんでしょうね。広告排除でヒットする確率は減ると。完全には防ぎきれないんだけど。スクリプトブロックしている人は遭遇しないと】

↑


同感です。

【年次調査】表示ですが管理人環境Firefox＋広告ブロッカーで不要な広告をブロックしている環境ですが、複数回【年次調査】が飛び出してきますね。ソースコードを取得したかったんですが失敗。でもアクセスした先は検索上位の「英語教室」のサイトでした。広告ブロッカーで不要な広告はブロックできている状況でしたが、scriptの中に「不正広告」がはめ込まれていたんだろうと推測しています（サイト制作者が嵌め込んだという意味でなく、フラッシュ動画を再生する枠に広告出稿された、その広告に不正なscriptが嵌め込まれていたという意味です）。こっちは英語教室にアクセスしたつもりでも、気がつかないままに【年次調査】サイトが待ち構えていたのでしょう。そこに飛ばされていたというわけです。この場合、PCは汚染していませんから、PC側を解析してもlogには出てこないわけです。

ななこさんの事案の場合はHDDのフォーマット一つとっても詳細がよく分からない部分があります（ななこさんを責めているのではないので、関係者の皆さん、誤解されませんように）。さらに言えばDMM絡みで蓄積してきたデータ類も使いたいという希望があるわけですし、ルーターファームウエア更新という部分も出てきています。

＊

今、ルーター廻りを整理整頓した状態にありますから、

↓
広告ブロッカーを停止した状態で好きなようにネットアクセスし、同じ症状が発症するか？

↓
発症しなかった場合、第２段階としてDMM絡みのデータを駆使して好きなようにPCを使う。

↓

一切発症しなかった場合は、ルーターが原因だったと推定できることになりますね。

（ただ、じゃあ年次調査はすべてルーターが汚染源かというと、それも違うので原因特定が非常に厄介な事案なんですね【年次調査】は）。

現段階では原因の特定は、まだ時期尚早だと見ています。

Re: 変なページが勝手に立ち上がって困っています。 - 通りすがりの凡人

2016/10/26 (Wed) 23:37:48

> 今回は、ルーターのファームウェアでしたけど。
↓
> 現段階では原因の特定は、まだ時期尚早だと見ています。

そうですね。
先に書いたように、「クリーンインストールが確実にされていて、かつルーターファームウェア絡みでのPC内部の汚染が免れているのならば」の話ですから。

-------------------------------------------------------------
> 一切発症しなかった場合は、ルーターが原因だったと推定できることになりますね。

発症した場合の対処を先にまとめてみました。

１．DMMデータの検証　←　先に提案しました。（2016/10/26 (Wed) 09:15:47のログ）
↓
２．確実にクリーンインストールし直す。（クリーンインストールされているのかが不鮮明だし、クリーンインストールされているとしても、ルーターの穴から既にPC内部が汚染されている可能性があるため）
↓
３．
・１の結果、DMMデータに問題がない場合は、完了。
・DMMデータに問題がある場合は、DMMデータの破棄の決断、もしくは、スクリプトで弾きながらのゲームを継続（sandboxie等の仮想環境で実行）←　１の検証をやらないのであれば同じくこれをやる。

クリーンインストールし直さないという選択肢もあるけど、私はパスです。（「年次調査」の対処については、散々に書いてきたので省略）
PC汚染を調べて対処すべきという方は、継続して調べてください。

-------------------------------------------------------------
> 一切発症しなかった場合は、ルーターが原因だったと推定できることになりますね
↓
ちなみに、下記の状態なので
> 広告ブロッカーを停止した状態で好きなようにネットアクセスし、同じ症状が発症するか？

PC内部が汚染されていなくても、飛ばされてることはあるわけで。「一切発症しなかった場合」というのは、単純ではないですよね。
当分の間の検証期間は、少しでも怪しげなサイトには行かないとか？（DMMゲームはやってくださいね。検証にならないので。）

以上です。

ご意見をお願いします。何か別の手順があるのであれば、再度、考えますので。
万が一、「発症したら」の後でもいいですけど。

今週は、仕事溜まりまくりの、週末は天皇賞での本気の遊びがあるので、そっちに集中します。病院でストレス溜まりまくり、発散しないとヤバすぎ。

Re: 変なページが勝手に立ち上がって困っています。 - 管理人です

2016/10/27 (Thu) 00:56:38

週末は天皇賞での本気の遊びがあるので、そっちに集中　←あはは凡人さんも「競馬？」。独尊会の会長さんと同じ趣味ですねえ。管理人は田原成貴の事件以来、競馬やる気がなくなっちまって。応援したい厩舎、ジョッキーが見つからないもんだから、熱が湧いてこない。


❷ところで、ななこさんもドキドキしながらPCを運用している最中だと思うので、ちょっと待ちましょう。

❸例えばですがルーター廻りの更新は完了したわけですから、OSのクリーンインストールを行ったあとでDMM関係は控えた状態で運用し、全くリダイレクトされなくなったという状態が一定期間続くようならば（リダイレクトされない状態が続いたあとでDMM系ゲームを再開したら再びリダイレクトが始まったという場合は）、悲しいですがDMM絡みで蓄積してきたデータの「どれか」がリダイレクトのトリガーですよね。

凡人さんの基本的な再建計画で良いと思いますよ。

天皇賞が終わってから、で良いと思います。ななこさんも、しばらく、様子見をしたいはずですし。

本件相談が投稿された時、管理人は「七不思議な事案だ」と感想漏らしましたけど、PCの汚染というよりはDMM絡みか、ブラウザの向こう側からの不正な関与による発症の可能性が高いなという意味で厄介事案だと見ていました。

ただ様子見している段階で、再びリダイレクトが頻発するようになったときMBAMでscanをしてみてほしいなとも思います。

Re: 変なページが勝手に立ち上がって困っています。 - 通りすがりの凡人

2016/10/27 (Thu) 10:41:36

> ❸例えばですがルーター廻りの更新は完了したわけですから、OSのクリーンインストールを行ったあとでDMM関係は控えた状態で運用し、全くリダイレクトされなくなったという状態が一定期間続くようならば（リダイレクトされない状態が続> いたあとでDMM系ゲームを再開したら再びリダイレクトが始まったという場合は）、悲しいですがDMM絡みで蓄積してきたデータの「どれか」がリダイレクトのトリガーですよね。

そうですね。
上記の話は、DMMデータの検証がやれない場合の話ですよね？
それ「発症した場合の対処を先にまとめてみました。」の手順３で書いています。

手順１で、最初にDMMデータの検証をやりたいと思ってますので。
DMMデータの検証ができない場合は、ゲームはsandboxie等の仮想環境でやらないと、手順２のクリーンインストールが無駄になる可能性がありますね。
※遊ばれているDMMゲームはブラウザアプリなんで、sandboxie配下で動きますよね。たぶん。

--------------------------------------------------
> ただ様子見している段階で、再びリダイレクトが頻発するようになったときMBAMでscanをしてみてほしいなとも思います。

MBAMでのscan一度、かけているようですが（2016/10/23 (Sun) 01:42:59）、もう一度かけますか？
すぐにできることなので、再発したときは、クリーンインストール前に、一応、やってみますね。

--------------------------------------------------

ルーターの脆弱性

知ってはいたけど、ここまで酷いという認識はなかったです。気にしていたの自分のルーターメーカーくらいでしたし。

NECもバッファローも、その他メーカーも。百花繚乱。
http://freesoft.tvbok.com/tips/security_news/nec_wi-fi_aterm_2016_0304.html
https://jvn.jp/jp/JVN48135658/
http://internet.watch.impress.co.jp/docs/news/1007288.html
他のメーカーも。貼りまくるの面倒くさいので、他は自分で探してくださいね。

パソコン内の脆弱性更新はやっていても、ルーターのファームウェア更新は、多くのユーザーはやってないんでしょうね。ログイン情報でさえデフォルトのままとか。
報告されている脆弱性は一部で、未知の脆弱性がある可能性だってあるわけで。

「年次調査」はルーター、PC内が汚染されていなくても、広告等のスクリプト経由で発生する現象だけど、多発する場合は、まずは疑うべきはルーターなのかもですね。

アンチウェルス、マルウェア対策ソフトのベンダーからこれといった詳細情報がでてこないのも気になるところ。それらのベンダーのほとんどは、所詮はPC内のセキュリティですからね。
ほんとにPC内が汚染されるのか？ってのもある。

--------------------------------------------------

> 競馬やる気がなくなっちまって

どの馬が勝つのかを予想するだけでも楽しいじゃないですか。推察力というか、頭の体操。そこに欲が絡むからさらに難しくなるんですけど。

Re: 変なページが勝手に立ち上がって困っています。 - 若竹亭おにぎり

2016/10/27 (Thu) 11:00:12

自分はなにか不具合を感じたら、ファームウェアをまず疑っています。ルーターのファームウェアは自動更新で行えるものもあるので設定を確認してみるといいですね。

Re: 変なページが勝手に立ち上がって困っています。 - 通りすがりの凡人

2016/10/27 (Thu) 11:07:54

若竹亭さん、この間はありがとうございました。たいへん助かりました。

> 自分はなにか不具合を感じたら、ファームウェアをまず疑っています。

お恥ずかしい限りです。
少なくとも、タブレットで発症した報告の時点で気づくべきでした。
ネットワーク感染？までで、ルーターの可能性に気づかないという失策。

Re: 変なページが勝手に立ち上がって困っています。 - 管理人です

2016/10/27 (Thu) 13:39:31

ルーターのファームウェア更新は、多くのユーザーはやってないんでしょうね。ログイン情報でさえデフォルトのままとか。

↑

hiさんはね知恵袋のセキュカテゴリーで熱心にルーター廻りの初期化、アップデートを指摘して回答しています。その意味ではルーター廻りも監視対象ではあるんですが、でもね？実はルーターのファームウエア更新に関してはメーカー側でも熱心じゃない？場合があります（その記憶があります）。また古いルーターでありセキュリティアップデートが終焉していたとかね。

また例えばですが伏魔殿さんは現時点で国内感染症例数取扱高「日本一」ですが、じゃあ感染事案に関して「全部」ルーター経由での感染かというと、そんなことはありません。ルーター経由で感染なら、悪代官さんは「まずルーターを初期化の上、更新してください」と回答すれば、伏魔殿に寄せられている相談は全部、瞬時に解決となっているはずですよね？でも、事実は、そうじゃないわけです。

手順としてはやはりPC内部の解析から開始。次にバックアップデータの解析、すべてに異常がない場合にwebアプリケーション側の関与による不正な事案なのか、それともルーター廻りの問題なのか？という風に、順番にすすめてゆきます。

本件ではすでにルーター廻りを整理整頓してしまったのである意味検証はできないんですが、仮にですよ、仮に、ルーターはそのままだったと仮定して、Windows10を再度のクリーンインストール。DMM絡みデータは一切使わず、通常のPC運用を行う。リダイレクトが発症しなければルーターにも問題はなかったことになりますね。これが本件では確認できないわけです（ルーター廻りが整理されているので）。ルーターの整理を経由したのでDNSも初期化されているでしょうし、ある意味で検証ができない状態になったといえば、なってます。

逆から言えばルーターの問題は解決済みなので現時点ではWindows10の再度のインストールは行わず暫く様子見して全く問題がないようなら、広告ブロッカーとscriptブロックも停止し、本来のネットアクセスに戻してDMM絡みのゲームを好きなだけ実行する。その段階でもリダイレクト発症しなければ本事案に関しては「ルーター」の未更新を原因とする発症だった、と推定できる段階に入るんじゃ？

数学でいう「場合分け」ですよね。段階を踏んで推測したものを、一つずつ潰してゆく。

この間の凡人さんの指示は見事なものだと管理人は見ていましたよ。

そもそも本件は「摩訶不思議」な事案でもありますしね。

❷ええとですね、様子見している段階で発症（もしくは、安全だと判断して通常運用に戻したら発症したなどなど）の場合に、できれば広告ブロッカー、scriptブロックを全部排除した状態でMBAMやRogue Killer，Adwなどを駆使して「ダメ元」でlogを取って見てほしいわけです。可能ならFRST.exeも駆使して。可能な限りのlogを採る。本事案で「感染部位がどこにも見つからない]というlogを採取しておくことも、別の意味で意味があるわけです。検知toolというのは現時点で「ここが汚染されるはずなんだよ」というシステム領域のscanを行うように製品設計されてますよね？エキスパートらが制度設計しているtoolでscanをして全く検知されないが、発症しているということは、新しい部分に棲みついているのか、それともやはりPCの「外」の問題なのか、と考える材料になるわけです。

だから「なにも検知されていないlog」だったとしても意味があるんですね。

よろしく、です。

Re: 変なページが勝手に立ち上がって困っています。 - 通りすがりの凡人

2016/10/27 (Thu) 15:15:17

> じゃあ感染事案に関して「全部」ルーター経由での感染かというと、そんなことはありません。

そうですよ。まったくもってそのとおり。「全部」ではないですよね。
あくまでも「年次調査」について話したのですよ。
他のマルウェア一般的なことについて話したつもりはないです。

> でもね？実はルーターのファームウエア更新に関してはメーカー側でも熱心じゃない？場合があります（その記憶があります）。また古いルーターでありセキュリティアップデートが終焉していたとかね。

それって、何が言いたいのですか？
ルーターの原因解明という場合、まずはPCをケーブルでモデム直結、これで、少なくともルーターが犯人かどうかはわかる。
（モデムなしの環境の場合は、別のWi-Fi環境に持って行ってやるとか、スマホ経由でテザリングするとか）

ルーターが原因だと判明した場合、どう対処したいのですか？
ルーターのファームウェアの更新を待つか、ルーターを買い直すしかないのでは？

> 手順としてはやはりPC内部の解析から開始。次にバックアップデータの解析、すべてに異常がない場合にwebアプリケーション側の関与による不正な事案なのか、それともルーター廻りの問題なのか？という風に、順番にすすめてゆきます。

まったく、そうだと思いますよ。一般的には。
今回の今の状態と、一般的な対処とを混同して話すのは、おかしいと思います。

「年次調査」に関しては言えば、PC内感染が明確になっているわけではない。
でも、今回ルータのファームウェアの脆弱性を突いているパターンがあることだけは判明した。くどく言いますけど、考えられる要因の一つとして、ルーターがはっきりした。
この場合（「年次調査」に関する）に限り、いきなりPC内を探しまくるよりも、まずは、ルーターの脆弱性を潰してから、次にPC内の感染を探すほうが、合理的ではないですか。

> 逆から言えばルーターの問題は解決済みなので現時点ではWindows10の再度のインストールは行わず暫く様子見して全く問題がないようなら、広告ブロッカーとscriptブロックも停止し、本来のネットアクセスに戻してDMM絡みのゲームを好きなだけ実行する。その段階でもリダイレクト発症しなければ本事案に関しては「ルーター」の未更新を原因とする発症だった、と推定できる段階に入るんじゃ？

今、ななこさんに、そうしてもらっているではないですか。
「ルーター」が原因だと特定しきれるのは、「クリーンインストールが確実にされていて、かつルーターファームウェア絡みでのPC内部の汚染が免れているのならば」と既に２度、書いているでしょう。
それで発症したら、「発症した場合の対処を先にまとめてみました。」の手順だと言っているのですが。

何かお互いに齟齬があるのでしょうか？意味がわからないのですが。
熱くなってすみません。でも言われていることが、ぜんぜん、理解できなくて。

> エキスパートらが制度設計しているtoolでscanをして全く検知されないが、発症しているということは、新しい部分に棲みついているのか、それともやはりPCの「外」の問題なのか、と考える材料になるわけで

これも、今まで、あくまでも「年次調査」について書いたつもですが。
他の掲示板等や、管理人さんの知識の範囲内で、「年次調査」につていのPC内感染で、何か判明していることがあれば、上げてみてください。
「年次調査」に関しては、私にはそれを見つける能力がないし、やりたくもないといっているわけです。最初に「年次調査」のPC内汚染を解明した人という名誉が欲しいわけでもない。
やりたいのであれば、管理人さんがやればいのでは？
何度も、「年次調査」のPC内感染につていは、PC内検査をやらないと書いています。そこまで拘束されなければならないのですか？
今回の件、「発症した場合の対処を先にまとめてみました。」まで書きました。
DMMデータの検証まではやってもいいです。後は、思われるように好きにやってください。

Re: 変なページが勝手に立ち上がって困っています。 - 管理人です

2016/10/27 (Thu) 16:51:25

ルーターのファームウェアの更新を待つか、ルーターを買い直すしかないのでは？

↑
はい、その通りです（メーカーの対応次第では、という意味で）。

❷熱くなる必要は全然ないと思いますよ。今はルーター廻りは更新されて検証対象からすでに外れているわけですから。様子を見て、最終的にはななこさんが普段使いしていたPC環境設定でDMMゲームを思う存分に楽しみ、リダイレクトが全く発症しなければ、ルーターだったんだなと最終的な推測が成り立つわけでしょう？でも、今は、まだその段階にない、という話をしているだけであって。今後、どうなるかは未だ報告が来ないんですから、熱くなる？必要は、全くないわけで。違います？

症状に応じて凡人さんの考えている処理スキームで淡々と事を進めてゆくことになっているわけで、なんで「熱く」なる必要があるのか、逆に管理人のほうがピンときません。作業指示を巡って「真逆」の衝突が発生しているわけでも、まったくないんだから、何をもって熱くなるのか、そこが全くわからないわけですよ。

そもそも、熱くなるとか冷たくなるだとか、掲示板に書き込まれているほうが、相談しているななこさんにとって「ある意味」胸が痛むかもしれませんよ。個人の感情は、掲示板上に書き込みする必要は、まったくないと考えますね。

補足）

URLを探すので手間取りましたけど　http://blog.trendmicro.co.jp/archives/13731?cm_re=articles-_-blog-_-13731　若竹亭さんが指摘していたように「多分」不正広告でしょう。アクセスした先のサイトに広告が嵌め込まれていて、その出稿されている広告の中に年次調査サイトまでリダイレクトする工夫がされている。PCが汚染されていなくても、十分に可能な方法。おそらく、これでしょう原因はね。

各種toolでlogを取りたいと言っている意味も、複数のtoolでlogをとっても「何もでてこない」ことが分かれば、不正広告テクが原因だなと強く推定できるわけで（クリーンインストールも不要かもしれないと考えることができるようになるし）。本件のような「原因とメカニズム」がよくわからない事案の相談が寄せられているのだから、現時点で考えうる手法で原因を探してみる＝logを取ってみることも、判断材料を豊富化させる一つの工夫というものです。結果として無駄だったとしてもですよ。原因が今ひとつ不明だからこそ、考えられることをやってみなければいけないわけで（管理人環境で、毎回、年次調査を捕捉できないからこそ）寄せられた相談は希少価値があるわけです。

とすれば

【他の掲示板等や、管理人さんの知識の範囲内で、「年次調査」につていのPC内感染で、何か判明していることがあれば、上げてみてください。「年次調査」に関しては、私にはそれを見つける能力がないし、やりたくもないといっているわけです】

↑
こんな「余分」なことを書き込み「熱く」なる必要は全くないし、むしろ、余計なことです。あくまで「多分不正広告手法だ」ろうという推測のもとPC上には汚染が無いはずだという推測も持った上でなお「logを複数取得してみる」ことに意味があると管理人は考えている、とコメントしているわけですね。考えつくことを沢山やってみて原因を見つけることができるのか、それとも見つけることができないのか？この程度のコメントの相互通行ごときで「熱くなって」というのでは、スレッドが少し「変質」し、相談者ファーストという価値観から脱線してゆきます。回答者個人の「感情」などは、本質的に必要の無いもの。まして当掲示板の場合は「主任」回答者を決め、その他は「サポートに廻る」ことを明確にしているのだから、本件は凡人さんが考えている処理の枠組みで粛々と進めれば良いだけのこと。今は「様子見」の段階であり、回答者相互が「あれや、これや」と想像を巡らせたり、作業方針を巡って「ああでもない、こうでもない」とキャッチボールをしているに過ぎません。キャッチボールをしてたら、そのボールが頭にぶつかって「痛いじゃないか、この野郎！」と片方が言い出して殴り合いの喧嘩に発展したら、「キャッチボール＝野球が上手くなるための努力」という本質から、脱線してしまいますね。

考え方や価値観、作業のススメ方など、回答者の数だけ「異なって」いるんですから、コミュニケーション程度で「熱く」なる必要はありません。「暗中模索」が本件なんですから、なおのこと「ああでもない、こうでもない」と推測、推定を沢山挙げることも、逆に非常に重要だと考えているのが管理人です。今後の推移次第で、作業指示の内容は変化するかもしれないが、当初のスキームの通りになるかもしれません。今は、まだ確定的指示を出す段階じゃないんだから、「ああだ、こうだ」とコメントを発信しても、許容範囲の段階です。

作業指示の内容が固まり、主任回答者の指示のもと「一致団結」が必要な段階に入ったら、サポートに廻る回答者たちは静かに見ておればよいわけで。

今は、まだ、その段階じゃないでしょ。

Re: 変なページが勝手に立ち上がって困っています。 - 通りすがりの凡人

2016/10/27 (Thu) 17:16:56

書いているのに、同じ事が何度も蒸し返されるから。やってられないしょうでしょう。。。

------------------------------------

再度、発生した場合の対処として、個人的にポイントだと思っていたこと。（方針）

ななこさんのPCを、
何をすれば、確実に、正常にできるのか？
　＋DMMデータを継続して遊びたい（要件）

今回の件に限れば、「年次調査」のPC内汚染の組みは、まったくわかっていない（そもそも汚染されるのかもわかっていない）
　→　確実にクリーンインストール　＆　できるのであればDMMデータの検証をしたい。
クリーンインストール後に、再度、汚染があるとすればDMMデータだから。

もちろんDMMのサイト自体が原因の可能性もありえるけど、艦これのページで感染するのであれば、多くの悲鳴がネットに溢れているはず。他に遊んでいるゲームのページもチェック。
まぁDMMの全てのページをチェックするのは無理だから、どこかのページってのは可能性として残りますけどね。

--------------------------------------

徹底的にPC内の感染をチェックというのは、ななこさん次第ですよね？
それに付き合わせてもいいのか？とか。

これからも誰かの身に起こりえる、「年次調査」現象の解明の礎のために、協力してもらうのもありなんでしょうけど。
私は解明できる自信がまったくないから頼めないのですよ。
だから、そこを求めるのであれば、そちらでやってくださいと書きました。

「年次調査」に関してはのPC内の汚染除去については、何度も、私は、やらないと書きましたよね。

そこを蒸し返されても。。。
そこは管理人さんがやられるつもいで書いていたのですか？

はっきり言って、うんざりしています。

Re: 変なページが勝手に立ち上がって困っています。 - 通りすがりの凡人

2016/10/27 (Thu) 17:29:01

2016/10/27 (Thu) 15:15:17でもいくつかにつてい書きましたけど。

原則論は踏まえなければならない。
だけど、あまりにもガチガチで柔軟性がないと感じました。

> じゃあ感染事案に関して「全部」ルーター経由での感染かというと、そんなことはありません。

> 手順としてはやはりPC内部の解析から開始。次にバックアップデータの解析、すべてに異常がない場合にwebアプリケーション側の関与による不正な事案なのか、それともルーター廻りの問題なのか？という風に、順番にすすめてゆきます。

単に原則論として書いたのですか？
それなら、その流れの中で書く必要はないかと。書くのであれば原則論とし明記して欲しい。

今回の事象のこれからに関して書いたのであれば、それはおかしいかと。

Re: 変なページが勝手に立ち上がって困っています。 - 管理人です

2016/10/27 (Thu) 17:52:48

だけど、あまりにもガチガチで柔軟性がないと感じました。

↑
そうでしょうか？

基本路線（作業指示）は大枠で決まっていて、その基本路線で行きましょうと決まっているわけです。それが前提条件であって、ななこさんからの報告を待っている状態ですが、その間に「ああだ、こうだ」と思うところをコメントしているわけで「そうしろ」だとか「こうしろ」という議論は、全くしていないわけですね。

柔軟だと思いますよ、逆に。

様子を見、報告次第で作業内容は刻々変化してゆくわけですから、報告を受けて最終的な作業指示が固まってくる。その段階からは、主任回答者の作業指示一本で処理してゆけばよい。

でも、今はそこまで到達していないんですから、あれこれとコメントしたりしても、問題ないと思いますね。基本作業方針を決めたのに「そこを修正しろ」だとか「それはやるな」と理由もなくことごとく修正されたら、誰でも「うんざり」すると思いますが、途中にすぎない今の時点で、「熱くなって」云々というのは、コミュニケーションが成立しなくなる危険がある。

柔軟性云々とは、ちょっと違う性質だと思いますね。

最終的な指示が固まった段階から不要な議論はやめれば良いわけで。

Re: 変なページが勝手に立ち上がって困っています。 - 通りすがりの凡人

2016/10/27 (Thu) 18:00:20

さようなら。お世話になりました。

Re: 変なページが勝手に立ち上がって困っています。 - 管理人です

2016/10/27 (Thu) 21:46:45

凡人さん。無責任は、良くないですよ。ななこさんの事案を担当しているのだから本件だけは粛々と最後まで担当してから、でしょう。

違いますか？

Re: 変なページが勝手に立ち上がって困っています。 - ななこ（PC）

2016/10/27 (Thu) 23:55:58

こんばんわ。一通りあたりを巡り、一通り復旧させ、ついでにPASSも変えて、すっきりしました。googleアカって一回変えるとめんどくさいですね。
ようやく、インターネットのURLが変わる瞬間のドキドキが収まってきました。

ありがとうございました。
加えてですが、DMMのページを検証するのは、ちょっと、うーん。自分のアカウント使われるのはちょっと恥ずかしすぎますので、遠慮させていただきます。申し訳ありません。

Re: 変なページが勝手に立ち上がって困っています。 - 管理人です

2016/10/28 (Fri) 14:51:29

ななこさん、お疲れ様でした。

【一通りあたりを巡り、一通り復旧させ、ついでにPASSも変えて、すっきり】　←この部分について「どんな作業」をしたのか、具体的に説明お願いしたいのです（箇条書きで構いません）。


❷DMM絡みのゲームをするときに

sandboxie

http://all-freesoft.net/system8/virtualsystem/sandboxie/sandboxie.html

sandboxieは無償版でOKです。DMMのゲームが仮想化環境で起動するか？管理人はゲームそれ自体を行いませんので、確認したことはないのですが良ければ仮想化環境sandboxieをインストールし仮想化環境の中で一度DMMゲームを起動してみてほしいわけです。

仮想化環境の中であれば、万が一、深刻な事態となっても仮想化環境の中だけでの問題であり、現実環境には汚染は拡大しません。


❸本件は「不正広告」が原因だろうと指摘されています。すごく簡単にいうと

Aというサイトが好きでアクセスしている
↓
Aサイトの中に広告が掲載されているが、その広告枠には不特定多数の広告が出稿されている
↓
その出稿された広告の中に「年次調査サイトへの誘導」が書き込まれていて、こちら側のBrowserは不正広告の誘導に従い、年次調査サイトにリダイレクトされてしまう。
↓
この不正広告は悪意を持った攻撃者らが正規の広告を偽装し紛れ込ませている場合があり、しかも広告出稿の数は膨大であるため広告を取り扱う広告会社本人も、不正広告を見つけることができていない、と指摘されてもいます（広告会社本人が攻撃者の可能性もある）。


ななこさんが「蓄積してきた」ゲーム類の中に、上記の仕組みが組み込まれている可能性があり、その場合、ゲームを行う限りは延々と「年次調査」が表示される可能性があるわけです。蓄積してきたゲーム類の廃棄は、ななこさん的には、あり得ないことだとも思いますので、sandboxieでPCを仮想化し、その仮想化環境の中でゲーム類が起動するか、一度試してみてください。

DMMゲーム類の検査は「遠慮したい」ということですので、DMMゲームの部分に関しては、これ以上、当掲示板としては立ち入り不可能ということですので、次善の策として仮想化環境を提案したいと思います。

もしもVISTAなどのインストールディスクが、ななこさんの手元にあれば、それを「ゲストOS」とし、VMWARE経由で仮想化環境を構築し、ゲーム類は、そっちで行うという考え方もアリえます。


http://nelog.jp/vmware-install　一例。検索すれば紹介説明サイトは無数に存在しています。ただ、手元にマイクロソフトの何らかのOSがないと、できませんが。


❹本件の現象が「不正広告」であればPCの内部の問題では「ない」可能性が極めて濃厚です。PC内部の問題というのは例えばレジストリ群に悪性レジストリが書き込まれている、などのことを意味します。ルーター廻りの更新も完了しているので、それで解決してくれておれば良いのですが。

❺もし、また頻繁にリダイレクトが発症する場合は、Browserに広告ブロッカーを組み込んだ状態で発症しているのか？など、具体的なPC環境を書き添えて細かく教えてください。

Re: 変なページが勝手に立ち上がって困っています。 - 管理人です

2016/10/29 (Sat) 14:39:00

リダイレクトが再度発生した場合、以下の通信監視ソフトウエアをインストール

http://www.umechando.com/software/

（管理者権限で）

＊左肩上に「ファイル」がありますから「接続」を選択

じっと待機

すると通信を監視できます。

リダイレクト発生した場合、どのようなアプリケーションなどが、その不正通信を行っているかlogを書きこんでください。

logの出力は

「ファイル」をクリックし
↓
「名前をつけて保存」
↓
「デスティネーションツリー（T)」
↓
デスクトップ上に「メモ帳」でlogが吐き出されます。

それをコピペ

(マイクロソフトofficeがインストールされておればセッションリストの形でもlogお願いします）