このドキュメントを評価 する 
この記事によって問題が解決されましたか?
ご意見がありましたら以下にご記入ください。

正常なファイルがウイルスとして検知された場合(誤認)の対処方法


Environment

Windows XP
Windows Vista
Windows 7

Summary

このQ&Aでは、正常なファイルがウイルスとして検出された場合の対処方法について解説しています。

【説明】

正常なファイルがウイルスとして検出される事を「誤認」といいます。

  
 

■ なぜ誤認が起こるの?
ウイルス探知エンジンは、ウイルス定義ファイル(DATファイル)からバイトパターンを読み込んで、ウイルスを認識します。正常なファイルが偶然にもウイルスと同じバイトパターンを持っていると、エンジンはそのファイルを感染ファイルとみなしてしまうために、誤認が発生します。

Solution

【対処方法】

誤認が発生した場合は以下の手順を参考に対応してください。
対処方法はウイルススキャンでの検出名により、大きくわけて2つの対処方法があります。
検出名にあわせた対応手順を確認いただき、最終的にマカフィー・テクニカルサポートセンターまでお問合せください。

ウイルススキャンの検出名 『Artemis!XXXXXXXXXXXX』
*XXXXXXXXXXXXは英数字
『Artemis!XXXXXXXXXXXX』
以外
検出名の例 Artemis!4DC81FB8CAEA
Artemis!587415BD8AA6
Artemis!E2BB543390E6
Generic.dx
Generic!Artemis
new malware.ag
対応手順 1.隔離ファイルの復元 不要 必須
2.ファイルの送付 不要 必須
3.スキャンログの取得 必須 必須
4.お問合せ 必須 必須

 

【検出名の確認方法】

  1. システムトレイの マカフィーアイコン を右クリックし、[(製品名)を開く](例:マカフィー インターネットセキュリティ を開く) をクリックします。
    マカフィー インターネットセキュリティ を開くをクリック 
     
  2. セキュリティセンターの画面が表示されますので [設定・機能等一覧] をクリックします。
    [履歴とログ]をクリック 
     
  3. [レポートとログ] にある [履歴とログ] をクリックします。
    [履歴とログ]をクリック 
     
  4. [履歴とログ] から [検出した脅威] をクリックします。
    [検出した脅威]をクリック 
     
  5. 検出した脅威名を確認します。
    検出した脅威名を確認


【対応手順】

Step1: 隔離されたファイルを復元します。

誤認が発生した場合、正常なファイルが隔離されている場合があります。次の手順を参考にしてファイルを隔離された復元してください。
復元を行った際に再度隔離されてしまう可能性があるため、ウイルス対策機能を一旦無効にしてから操作を行います。


■ ウイルス対策機能を無効にする方法

  1. システムトレイの マカフィーアイコン を右クリックし、[(製品名)を開く](例:マカフィー インターネットセキュリティ を開く) をクリックします。
     
     
  2. セキュリティセンターの画面が表示されますので [ウイルスおよびスパイウェア対策] をクリックします。
     
     
  3. [リアルタイムスキャン] をクリックします。
     
     
  4. リアルタイムスキャンを無効にするには [無効にする] ボタンをクリックします。
     
     
  5. リアルタイムスキャンを再開する時間を設定し [無効にする] をクリックします。
     
     
  6. リアルタイムスキャンを無効にすると保護ステータスが赤に変わりますが、そのままの状態で引き続き作業を行ってください。


■ ファイルを復元する方法

  1. セキュリティセンターの画面右上にある [設定・機能等一覧] をクリックします。
     
     
  2. [設定・機能等一覧] 項目から [隔離された項目と信用された項目] をクリックします。
     
     
  3. [隔離された項目] をクリックします。
     
     
  4. 対象となる隔離された項目を選択して、[復元] ボタンをクリックします。
    ファイルは検出されたときのパスに復元されます。(例: デスクトップ上のファイルが検出・隔離された場合はデスクトップ上に復元されます)

     
  5. 復元が完了すると、隔離された項目にはファイルが表示されなくなります。
     
     
  6. Step2に進みます。

 


Step2: ウイルスとして検知されたファイルをMcAfeeに送付します。

ウイルスとして検出されたファイルをMcAfeeに送付します。送付されたファイルは誤認の検証のために使用されます。ファイルはパスワード付Zipファイルで圧縮後、E-Mailに添付してMcAfeeに送付してください。ファイルの詳しい送付方法は以下のFAQをご参照ください。

TS101717 「検体(サンプル)をMcAfee Labsに送付する方法について」

ファイルをMcAfeeに送付するとAnalysis ID(アナリシスアイディ)と呼ばれるIDが発行されますので、必ずメモをとってください。


注意!
ファイルをMcAfeeに送付すると送信元のメールアドレスに対して、自動応答のメールが英語で送付されますので削除せずに保存しておいてください。
McAfee Labsからの返信メールの内容に関する詳細は、以下の Q&A を合わせてご参照ください。
TS101713 「McAfee Labs (旧:AVERT Labs)からのメールについて」

Step3に進みます。

 


Step3: スキャンログを取得します。

ウイルスとして検出されたファイルを検査する際に、ファイルのパスおよび検出名を確認する必要があります。検出されたファイルパスとウイルス名はウイルススキャンのスキャンログに記録されておりますので、次の内容を参考にしてスキャンログを取得します。

  1. 次の操作を行います。
    • Windows XPの場合
      [スタート]-[ファイル名を指定して実行]に以下のパスをコピー&ペーストし、「OK」をクリックしてフォルダを開きます。
      C:\Documents and Settings\All Users\Application Data\McAfee\VirusScan\Logs
       
    • Windows Vista/7の場合
      [Windowsボタン]-[検索の開始(または「ファイル名を指定して実行」)]に以下のパスをコピー&ペーストし、Enterボタンを押してフォルダを開きます。
      C:\ProgramData\McAfee\VirusScan\Logs
       
  2. フォルダ内に存在している「OAS.log」および「XXX_ODS.log」というファイルをデスクトップにコピー&ペーストします  *XXXは英数字が入ります。
     
  3. Step4に進みます。



Step4: テクニカルサポートセンターに問合せを行います。

最後にマカフィー・テクニカルサポートセンターにお問合せを行います。
お問合せ内容を元にして弊社担当部門で調査を行い、誤認が確認された場合はDAT等の修正を行います。
*お問合せ時の際にご記入いただく項目に漏れがある場合は修正等の対応ができない場合がありますのでご注意ください。

お問合せはこちら

[お問い合わせ時に必要な情報]

  1. ウイルスとして検知されたファイルの用途 *必須
    ウイルスとして検知されたプログラムの用途をわかる範囲内で記載します。
     
  2. スキャンログの内容のコピー *必須
    Step3 で取得したファイルを開き、ウイルスとして検出されたファイルのファイル名が記載された箇所を日時も含めて抜粋し、コピー&ペーストします。

    [手順]
    1. デスクトップにコピー&ペーストした「OAS.log」または「XXX_ODS.log」をダブルクリックして開きます。
    2. ウイルスとして検出されたファイル名が記載された箇所を日時も含めて抜粋し、コピー&ペーストします。
       
  3. McAfee Labs からの自動応答メール *状況により必須
    Step2でファイルをマカフィーに送付した際に McAfee Labs から送付される自動応答メールの全文をコピー&ペーストするか、メールを添付してご送付ください。
    コピー&ペーストを行う場合、Analysis ID の項目が記載されていることをご確認ください。
    *ファイルを送付していない場合は必要ありません。

[お問い合わせ文章例 (検知名がArtemis!XXXXXXXXXXXX の場合)]

正常なファイルがウイルスとして検知されます。調査してください。

  1. ウイルスとして検知されたファイルの用途
    TestSample.exe”はマカフィー製品で使用しているプログラムです。
     
  2. スキャンログの内容のコピー
    2009/06/11 14:27:03 "C:\Programfiles\McAfee\ TestSample.exe " " Artemis!587415CA8AA6, Artemis!587415CA8AA6" "1"

[お問い合わせ文章例 (検知名がArtemis!XXXXXXXXXXXX 以外の場合)]

正常なファイルがウイルスとして検知されます。調査してください。

  1. ウイルスとして検知されたファイルの用途
    TestMcAfee.exe”、” TestMcAfee.bin”、” TestMcAfee.dll”はマカフィー製品で使用しているプログラムです。
     
  2. スキャンログの内容のコピー
    2009/06/10 09:33:03 "C:\Programfiles\McAfee\TestMcAfee.exe" "Generic.dx, Generic.dx" "1"
    2009/06/10 09:33:05 "C:\Programfiles\McAfee\TestMcAfee.bin" "genericpup.z, genericpup.z" "1"
    2009/06/10 09:33:06 "C:\Programfiles\ McAfee\TestMcAfee.dll" "Generic!Artemis, Generic!Artemis" "1"
     
  3. McAfee Labs からの自動応答メール
    (McAfee Labs からの自動応答メールを添付するか、本文をコピー&ペーストしてご送付ください。)