怪しいファイル(smax4pnp.exe)をブロック - 誤検知?

添付スクリーンショットの如く、smax4pnp.exeが怪しいファイルとしてブロックされウイルスチェストに移動されました。

これは(当初WinXPにコンバインされたものと考えましたが)ASUSマザーボードのSoundMaxドライバ関係のファイルでした。誤検知と考えてavastに提出送信しましたが、その画像の一番下のタスクトレイの通知領域アイコンの左から2番目のアイコン(SoundMaxコントロールパネル)が異状表示になってしまいました。

avastに提出後ウイルスチェスト内で検査したところ–ウイルスなし–の判定となったので、このファイルを[復元]クリックして上記のアイコンが正状になるかと思いきやタスクバーからそのアイコンが消えてしまい、スタートメニューからも消えてしまいました。そして3枚目の画像のとおり再びウイルスチェストに同ファイルが表示され、これも再度avastに提出しましたが、再検査すると同じように–ウイルスなし–となりました。

念のためブートタイム スキャンも実行しましたが本件に関する異状は無しです。しかしSoundMaxは回復できなかったので、該当のドライバを再インストールして正常化しました。

しかしネットで調べるとsmax4pnp.exeとして隠れているマルウエアもあるらしいですが、特にc:\windowsまたはc:\windows\system32フォルダーにある場合はマルウエアとの事ですが、今回のケースはASUS M/B関連のドライバでフォルダーもC:\Program Files\Analog Devices\Coreで大丈夫だろうと思いますが、再インストール後のもう一つのソフトsmax4.exeはC:\Program Files\Analog Devices\SoundMaxとなっていますが、以前はどうだったか不明です。

長々と説明しましたが、何故上述の如く[SoundMaxコントロールパネル]のアイコンが消えてしまったのか、又そもそもマルウエア疑惑に引っかかったのか、実際に何かセキュリティ上の不都合が発生したのか気になり投稿する次第でNON様のご意見を賜りたく宜しくお願いします。

Win32:Evo-gen [Susp] は最近拡張された新型ジェネリック定義で、新種のマルウェアに対して好成績を上げている半面、誤検知も少々出ています。
また、この定義は実行時にのみ検知されるという特異な仕様になっているため、ブートタイムスキャン等では検知されないようです。チェスト内で検知されないのも、この仕様による可能性があります。
また、送信してすぐに解析が行われるわけではありません(仕様上、そもそもすぐには送信されません)ので、対応は定義ファイル2~3更新分くらいの間が空くことが多いようです。

パスからするとおそらく誤検知と思いますが、修正されるまでは復元しても意味がありませんので、一時的に除外リストに追加しておく必要があるでしょう。

アイコンが消滅した理由については、タスクトレイに関しては必要なファイルが削除されたためと考えられますが、スタートメニューの方は不明です。「よく使うプログラム」の一覧であれば、ファイルが消えたことでリストからも削除された、という可能性もあります。

セキュリティの点からいえば、問題は無いでしょう。

NON様、早速の回答・情報ありがとうございます。

送信して直ぐに解析されるはずないですよね。一応セキュリティの点で問題はないようですので注意しながら様子をウオッチしていきたいと思います。ありがとうございました。

また何かありましたらお越しください :slight_smile: