ヒューステリック法により怪しいファイルが・・・と警告が出ました
ファイル名は
C:\Documents and Settings\All Users\Application Data\AlwilSoftware\Avast5\arpot\201102061830160001
という物でした
ファイル名にavast5とあるので誤検知かなとも思うのですが気になって投稿しました
完全なシステムの検査をセーフモードで行いブートタイム検査も実行しましたが
いずれも何も検出されませんでした
警告文は無視を選択し解析の為送信を選び閉じました
一度出たきり今の所同じような物はでてきません。
一応メールでもこのファイル名を送って質問はだしておきました
誤検出である可能性の方が高いと思うのですが如何でしょうか。
ようこそ masamasa さん
arpotが何を意味するのか、残念ながら調べても分からなかったのですが、
完全なシステムの検査をセーフモードで行いブートタイム検査も実行しましたが いずれも何も検出されませんでした 警告文は無視を選択し解析の為送信を選び閉じました 一度出たきり今の所同じような物はでてきません。ということですので、おそらく問題はないものと思います。 (問題の警報は、確かルートキット対策エンジンのものだったと記憶していますので、完全な推測ですが、「Anti-Rootkit Honeypot」の略かな、と思ったり。)
ファイル名に関しては、日付と日時以外の何物でもなさそうですので、スキャン中の一時ファイルか何かかもしれません。
avastのルートキット検知システムは2つあり、1つはavast本体とは別に開発されている(?)ため、avast本体が行った処理を誤検知してしまう場合が、ごくまれにですがあるようです。
公式の方にも質問を出されたとのことですので、いずれ返信があるでしょう。
ご返信ありがとうございます
やはりあれから同じような警告は出てきませんでした
もちろん何か不具合が・・・というのもありませんが
検知しきれない物もあったり・・・っていう心配もあり
完全に安心しきれていませんが
セーフモードで完全なスキャンもしてブートタイム検査もしましたので
このソフトを利用してる以上今は安心であると信じようと思います^^
ファイル名に関して後ろの数字は日付等でしたか気づきませんでした
ですが誤検知で無い場合3度も再起動してるので
普通また警告が出てもおかしくないはずだと思ってるので
きっと大丈夫なのでしょう。
公式にもメールで出してる質問へ返信がくるのが待ち遠しいです
こういうウィルス系には神経を尖らせてしまうので完全に安心できるようになりたいです。
とりあえず「問題無いかと思う」と言われふっと安心できました
本当にありがとうございます^^
どうしても心配でしたら、以下に紹介するMalwareBytes Anti-Malware (以下MBAMと略)を使ってスキャンしてみるといいかもしれません。
MBAMは普通のウイルス対策ソフトでうまく検知されなかったり、対応が遅かったりするウイルスなどについてもかなりの精度で検知してくれる優れものです(若干オーバー気味なところもありますが)。avastのサポートフォーラムでも、「うまく駆除できないようだったらまずこれを使ってみろ」と紹介される定番ソフトの一つです。
公式
http://www.malwarebytes.org/mbam.php
ダウンロード(直リンク)
http://www.besttechie.net/tools/mbam-setup.exe
ご紹介頂いたソフト早速使用しました所一つ検出されました
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogoff (PUM.Hijack.StartMenu) → Bad: (1) Good: (0) → Quarantined and deleted successfully.
メモ帳にログが登録された物をそのまま貼りました
一応説明通りに削除しセーフモードで再度検査したら
何もでませんでした。
これは最初に怪しいファイル・・・と出た物と関係があるのでしょうか
そしてファイル名がマイクロソフトとかなってますが
本当にマルウェアだったのでしょうか
完全な検査でもブートタイムでも引っかからなかったので
削除したのが心配でもあります。一応不具合等起きていませんが
クイックスキャンだったのですがフルスキャンした方が良いのでしょうか
やり方にクイックスキャンの説明しか無かった物で^^;
質問をまとめると
今回のこのファイルはマルウェアであり、削除して大丈夫だったのか。
クイックスキャンではありますがセーフモードで次は何も出なかったので安心なのか。
という点です。
もちろんおわかりになる範囲で教えて頂ければと思います
ご紹介くださりありがとうございました
引っかかったのはレジストリのキー(ファイルではない)ですね。正直言って、最初の「怪しいファイル」とは関係ないと思います。
問題があったというよりは、「感染しているとよく変更されている場所」が「よく変更される値」になっていたので、元に戻しました、といった感じです。これは別にウイルスによるものではなくとも(自分で変更していたとしても)引っかかってきますので、今回の件とはおそらく関係ないかと。
名前からするとスタートメニューの「ログオフ」メニューの表示に関するもののようですが・・・消してたはずが出てきたとか、逆に出ていたのが消えたとか、そういうことはないでしょうか?
ログオフメニューを使わない人にとっては別にどちらでも大した差はないので、消してしまったからと言ってトラブルになる場所ではありません。
フルスキャンやってもいいですが、この感じだとほかにも過剰反応が出そうですので、消しすぎてトラブルになるよりはやらないほうがいいかと思います。もし行われる場合は、すぐには消さずに「何が出たか」の確認にのみ使うとよいでしょう。
masamasa さん、こんにちは。
メールでお問い合わせをいただいたとのことですが、どうもこちらには届いていないようです。
一度出たきりでその後は検知されていないということなので、これが誤検知ですでにこのファイルを検知しないようウイルス定義が変更された可能性もあります。しかしいろいろ検索しましたが arpot というフォルダが何かよく分かりません。ウイルスが検知されなくてもこのフォルダが気になるようでしたら、一旦アバスト!をアンインストールし、再インストールするといいかもしれません。
お二人ともありがとうございます!
まずウィルス検知の件がウィルスで無いと知り安心しました
一応完全な検査にブートタイム検査に新しいソフトでの検査にとやってきてたので
フルスキャンは機会があればやると言うことで一応安心しています
以後も同じような警告が出る事も無いので多分誤検知だったという可能性の方が高いと思いますし^^;
そしてメールですがヤフーのフリーから送ったので届かなかったのかもしれませんすいません:
同じような警告が出ないのが誤検知で定義が更新されたというのもありそうですね。
「arpot」に関して気になる以前に全てに関して何なのか全く無知な状態なので
アンインストールして再度インストールした方が懸命でしょうかね?
現在入ってるのがavast5でダウンロードフォルダも残してあるのですが
そのフォルダからの再インスコでも良いのでしょうか?
それと認証キーみたいなのもまた設定しないといけないでしょうか?
すみませんここ2日神経尖らせて色々調べたりしてたもので
「それくらい自分で調べろ」と思われるかもしれませんが
教えてくださると嬉しいです
masamasa さん
ブートタイム検査も行ったようでしたらそのままで大丈夫だと思いますが、あまり気になるようでしたらアンインストール、再インストールを行ってみたらどうでしょう。
はい。大丈夫です。
masamasa さんは無料版を使用していらっしゃいますか?30日以上続けて使用なさるようでしたら無料のライセンスキーが必要です。以前アバスト!ウェブページからライセンスを登録しすでに有効なライセンスキーを保持しているようでしたら、それを使用していただいてかまいません。ライセンスキーをお持ちでなく、さらにコンピュータがインターネットに接続されているようでしたら、オンライン登録が簡単ですのでお試しください。
オンライン登録の方法はユーザインターフェース(メイン画面)から「メンテナンス」-「登録」-「直ぐに登録する」を選択し、必要事項を入力して「無料ライセンスを登録する」をクリックするだけです。
詳しくはこちらの8ページをご覧ください:www.avast.com/files/documentation/quick-start-guide-free-ja-jp.pdf
お返事ありがとうございます
ダウンロードフォルダをアンインストールしてない状態で開いたら
「現在のバージョンより古いバージョンをインストールしようとしてます」
と出たのですが良いのでしょうか^^;
フォルダも新しい物の方が良いのかなと・・・
ですが現状出てるバージョンの最新の物のダウンロード先もわからず
このままでいこうかなとも思ってきてます;
もう一度質問です。
右下のavastアイコンを右クリックして「アバストについて」を見たところ私のは
5.1.889とプログラムバージョンがなっているので5.1なんだと思います。
いつアップしたのか覚えて無いのですが^^;
なので多分以前入れたときのフォルダが古いバージョンとなっているようなのですが
この場合どうしたら良いのでしょう。
こういう事に疎いというか知識が無いので教えて貰えると嬉しいです;
おそらく自動アップデートで更新されたものと思います。
5.1.889の実行ファイルは以下からダウンロードできるはずですので、こちらをダウンロードしてください。
無料AV: http://files.avast.com/iavs5x/setup_av_free.exe
プロAV: http://files.avast.com/iavs5x/setup_av_pro.exe
インターネットセキュリティ: http://files.avast.com/iavs5x/setup_ais.exe
ありがとうございます!!
無料のを使ってるので上の無料をダウンロードして現在入ってるavastをアンインストールし
ダウンロードファイルからインスコすれば良いのですよね。
一番下のインターネットセキュリティというファイルこれはなんなのでしょう;
その通りです。
一番下のインターネットセキュリティというファイルこれはなんなのでしょう;ファイアウォールと迷惑メール対策機能、サンドボックス機能などを同梱した有料版です。 比較表は以下にあります。 http://www.avast.com/ja-jp/comparison-chart
ありがとうございます^^無事インストールできました。
最後に質問したいことが合って以前の詳細設定等を忘れてしまいまして
「処理」の項目などはシールドによって使い分けてたはずなのですが
全て忘れてしまいまして^^;
好みによる物だと思うのですが
私の設定を書くので「こうした方が・・・」等あれば教えてください
何も表記してない項目は全くいじってないデフォルトという事です
なので表記の無い部分でも気になるところがあればご指摘ください
ファイルシステムシールド
処理→尋ねる→チェストに移動→何もしない
メールシールド
全デフォルト
ウェブシールド
処理→尋ねる
p2pシールド
IMシールド
挙動シールド
全デフォルト
おすすめ設定みたいなのを記載してるところがあり
ファイルシールドの処理だけはそういう設定がお勧めと有りました
その他の処理が何故デフォルトなのか・・・
メールシールドの処理はファイルシールドと同じ設定がお勧めとありましたが
ひつこいウィルス系のメールで反応するならデフォルトで良いとあったので
そのままにしてみました。
如何でしょうか。好みの問題でも処理とかは謝った処理選択をすると
大事な物を自動削除しちゃいそうで危険ですし・・・
わかる範囲でご教授ください
処理について確認なのですが
メールシールドというのはフリーのヤフーメール等も対象なのでしょうか?
それともプロバイダの本メールのみでしょうか?
本メールのみだとしたら迷惑系も全く来ないので設定を尋ねる→チェスト→何もしない等に変えようとも思ってます。
p2pは利用しないですしあったとしても消して不具合になるとか困るなんて無いと思うのでデフォルトの状態で問題無いですよね?
IMシールドですがスカイプ等は使用してるので
こちらは尋ねる→チェスト→何もしない
にした方が無難でしょうか。
こういう細かい事がきになるもので^^;
メールシールドとかフリーメールにも適用だと迷惑メールばかりきてるので
毎日警告がでちゃいそうなので。もし本メールのみなら設定を変えた方がいいなとか
気にしすぎだと思われると思いますが気になってしまうもので;
設定の仕方は好みの問題が大きいので・・・
あくまで私見ですが、私としてはWebシールドはデフォルトの「接続を切断」で構わないかと。「尋ねる」にしても「続行して見る」選択肢は出ないはずですし。
メールソフトで受信する限りにおいては、すべて対象となります。Webメールの場合(ブラウザ上で見る場合)は、メールシールドでなくWebシールドの保護下となります。
p2pは利用しないですしあったとしても消して不具合になるとか困るなんて無いと思うのでデフォルトの状態で問題無いですよね? IMシールドですがスカイプ等は使用してるので こちらは尋ねる→チェスト→何もしない にした方が無難でしょうか。使わないのなら別に構わないのでは。 「自動削除されない」と言う意味では「尋ねる→チェスト→何もしない」は無難かもしれませんね。
あと迷惑メールの件ですが、avastフォーラムであなたのメールアドレスが表示される設定になっています。アドレスそのままは表示しない設定に変えることをお勧めします。
変更方法は、
- 右上の「PROFILE」をクリック
- 左側の「Account Related Settings」を開く
- 「Hide email address from public?」にチェックを入れる
- 一番下の「Change Profile」を押す
です。
ご返信ありがとうございます!
メールソフトで受信する限りにおいては、すべて対象となります。Webメールの場合(ブラウザ上で見る場合)は、メールシールドでなくWebシールドの保護下となります。
と言うことですがoutlook expressのメールはメールシールドの保護で
ヤフーなど無料で提供されてるフリーメールはwebシールドの保護
という事で良いのでしょうかね。
その場合はやはりメールシールドは「尋ねる→チェスト→何もしない」が良いと思うのですがどうでしょう。
webシールドの処理に関してですが尋ねるにしても無意味なので接続を遮断で構わないという事ですかね?
質問ばかりですみません;
こういうのは好みの問題なんですが推薦される設定があればそれの設定の方が良いので・・
如何せんこういう事に詳しく無い物で;
あ。それとメールが表示されてしまってる件ご指摘ありがとうございます;
御指南された通り変更してみましたが
反映されてるでしょうか。
英語ばかりでどうなってるか全くわからず^^;
Yahoo!のフリーメールはOutlook Express等から送受信することができます(POPアクセス)ので、その場合にはメールシールドがスキャンしてくれます。
これはYahoo!だけでなく、Outlook Express等のメールソフトからのアクセスが可能な、すべてのメールサービスに当てはまります(GMailとか)。
つまり、Outlook Expressを使ってメールのやり取りをする場合には、どこが提供するサービスを使おうが、すべてメールシールドがスキャンしてくれます。
ただし、POPアクセスの設定が行われていても、ブラウザ(Internet Explorerとか)で表示させた場合(つまりOutlook Express等を使っていない場合)はメールシールドは働かず、Webシールドが代わりに働きます。
その場合はやはりメールシールドは「尋ねる→チェスト→何もしない」が良いと思うのですがどうでしょう。確かに、メールは受信したらサーバーから消えてしまう設定の場合が多いですから、その方が(削除されないという意味で)安全でしょうね。 サーバーにそのまま残す設定も、大抵はメールソフト側で可能ではあります。
webシールドの処理に関してですが尋ねるにしても無意味なので接続を遮断で構わないという事ですかね?添付画像の通り、Webシールドの「尋ねる」は事実上「接続を切断」しか選べませんので。わざわざ「尋ねる」を選ぶ意味はないかと。
ちゃんと消えていますよ。