「avast!」誤検知(Win32Delf-MZG)でチェストに移動したファイルを手動で復元
昨日(2009.12.03)の昼過ぎ、ウィルス対策ソフト「avast!」のパターンファイルが更新された直後から、「トロイの木馬を発見しました!」という警告が複数回表示された。
特にウィルス感染するような状況ではなく「あれ?」と思ったが、ちょうど打合せの真っ最中でウィルスに構っている余裕もなく、念のため「チェストに移動」を選択し、後でチェックすることにして放置した。
しかし、次から次へと警告が出てくるため、ついに仕事を中断して表示されたマルウェアの名前「Win32Delf-MZG」をネットで検索してみた。すると、下記の記事を発見した。
まるぽ堂[ニュース感想文] ウイルス対策ソフトavastで誤認識「Win32Delf-MZG[Trj]」(食らいました)
やはり誤検出のようで、同様の症状で困っている方々から多数のコメントが続々入っていた。
私はすぐ、知っている範囲で「avast!」を使っているクライアントに電話し、警告が出ても慌ててファイルを削除しないよう注意を促した。
その後、警告が何度も出たが、すべて「何もしない」を選択し、ひたすら修正パターンの配信を待った。
夕方ごろ、やっと修正パターンが配信され、警告は出なくなった。そこで、昼過ぎに間違って「チェストに移動」してしまったフィアルを復元しようとしたが、「avast!」操作画面のどこを探してもチェストのファイルを復元するオプションが見当たらなかった(フリー版だからかな?)。
止むを得ず、チェストを探し出し、ファイルを手動で復元させることにした。以下、チェストに移動したファイルを手動で復元したときの手順である:
(ここから実際に行った手順)
この説明は利用者の利便を考えて作成したものであり、完全な効果を保証するものではありません。この説明によって生じるいかなる損害に対しても、当方はその責を負いません。あくまでも自己責任でご利用下さい。
まず、「avast!」ログビューア「警告」のリストをテキストにエクスポートし、エクセルで開いて編集し、タイムスタンプとフォルダ名・ファイル名のみ抽出し、タイムスタンプでソートした。
次に「avast!」の「チェスト」のフォルダを開き、これもまたタイムスタンプでソートした。
※「チェスト」のフォルダは
C:\Program Files\Alwil Software\Avast4\DATA\chest
にあった。
この二者を比較しながら、タイムスタンプ、ファイルサイズ、前後の記憶、それに野性の勘を総動員し、「これだ!」と思われるファイルを別の場所にコピーした上で(「移動」してしまうと「avast!」の動作に影響を与えるかもしれないので念のためコピーを取った)、下記のようにファイル名を変更し、それぞれ(ログに記載されている)元のフォルダに移動させた(この操作に自信のない方は手動による復元はしない方が無難だ)。
0000004D → Lhaplus.exe
0000004A → rtl70.bpl
00000049 → LplsShlx.dll
00000047 → MYDIT_GENCLASSCOINST.DLL
00000046 → DEVINST.DLL
Lhaplusについてはアプリケーションの関連付けが消えていたので手動で割り当てを行った。なお、これ以外のファイルは別の方法ですでに復元していたため、この操作は行っていない。
(ここまで実際に行った手順)
私の場合、あわててファイル削除せず全て「チェストに移動」としたこと、誤検知の件数が10件ちょっとしかなかったこともあり、割とすぐ復旧することができた。しかし、世界中で重要なファイルを削除してしまい途方に暮れている方々がたくさん発生した事だろう。「削除」を選択してしまったファイルを通常のユーザーが通常の手段で復旧させることはまず不可能だ。「avast!」の製造メーカー「ALWIL Software」社には世界中からどのくらい苦情が殺到したのだろうか。
以下、窓の杜より関連記事を引用:
(ここから引用)
窓の杜 - 【NEWS】「avast!」が大量のファイルをウイルスと誤検知する問題が一時発生
NEWS(09/12/03 16:07)
「avast!」が大量のファイルをウイルスと誤検知する問題が一時発生
ウイルス定義ファイルを最新の“091203-1”へアップデートすることで解決する模様
“Win32:Delf-MZG[Tri]”が検知された際のダイアログ
ALWIL Software製の無償ウイルス対策ソフト「avast! 4 Home Edition」v4.8.1368に、多数のファイルをトロイの木馬“Win32:Delf-MZG[Tri]”として誤検知してしまう問題が発生していたことが、読者から窓の杜編集部に寄せられた情報や複数のブログなどから明らかになった。編集部にて確認したところ、問題はウイルス定義ファイルのバージョンが“091203-0”の状態で発生し、最新の“091203-1”へアップデートすることで解決する模様。
「avast! 4 Home Edition」は“Win32:Delf-MZG[Tri]”として検知されたファイルを隔離することを推奨するが、ファイルを隔離するとソフトが正常動作しなくなる可能性が高い。定義ファイルがバージョン“091203-0”の状態で検知されたファイルは誤検知の可能性が高いため、ウイルス検知のダイアログが表示された場合は処理を一旦中断し、定義ファイルを“091203-1”へバージョンアップしたあとで再スキャンすることをお勧めする。
avast! - スパイウェアとウイルス保護のためのアンチウイルスソフトのダウンロード
http://www.avast.com/
【重要】ソフトウェアがトロイの木馬として検出される問題 (フェンリル | デベロッパーズブログ)(誤検知の問題を報じたブログ)
http://www.fenrir.co.jp/blog/2009/12/post_43.html
窓の杜 - avast! 4 Home Edition
http://www.forest.impress.co.jp/lib/inet/security/antivirus/avast.html
(長谷川 正太郎)
(ここまで引用)
引用元:
http://www.forest.impress.co.jp/docs/news/20091203_333071.html
私は2年前半前から「avast!」を使用している(関連記事:avast! 4 Home Editionに乗り換え(もうトレンドマイクロもシマンテックもいらない))が、最近はAVGの方が総合的に使い勝手が良いため、人にはAVGの使用を勧めている。私の管理するPCはほとんどAVGに移行したが、自分で使用している1台だけは「avast!」を使用している。なぜなら、AVGでは検知しないウィルスで「avast!」が検知するケースが時々あるからだ(その逆、AVGは検知して「avast!」が検知しないケースももちろんあるが)。
ということで、今回の事件は衝撃的であったが、リスク分散のためにも当面は「avast!」を使い続けるつもりだ。
「セキュリティ」カテゴリの記事
- 「avast!」誤検知(Win32Delf-MZG)でチェストに移動したファイルを手動で復元(2009.12.04)
- ホームページ(IE)が開かなくなるウィルス(xvassdf)を手動復旧(2009.08.06)
- http://online-scan.net/xv/ を踏まないように(2008.10.14)
- USBメモリ/autorun型ウィルス(kavo/revo/mmvo/i2p.bat/uu.exeなど)に感染したPCはリストア(OSの再インストール)せずに復旧します!(2008.09.22)
- USBメモリに「q83iwmgf.bat」「autorun.inf」が一瞬現れて消えるウィルスに注意(追加:8e9gmih.bat、o0s.cmd)/kavo・mmvoの駆除・予防・復旧(2008.02.17)
The comments to this entry are closed.
Comments
初めまして。私も中村と言います。
panasonicの事を調べていたらここに着きました。
海外在住(ブラジル)なので、全くビジネスにはならないんですが。。。
パナソニック レッツノートCF-Y2にCDを入れようと、開けて閉めると突然に画面が変わり、「ご迷惑をおかけしております。Windows が正しく開始できませんでした。」となりました。リカバリーが良かろうとの情報で(ネットで見ただけですが。。)リカバリーのDVDもあったのでしました。
リカバリー後、"セットアップが完了していません。”と出ました。2度しましたが、同じでその後は、リカバリーのDVDさえも回らなくなりました。
どうしようもなく今、ブラジルのPCのショップに出しましたが、私の中にはこのDVDを入れるディスクが壊れたのかと思ったんですが、どう思いますか?あと、中村さんがいろいろとpanasonicのHDD交換は違うところがあると書いてあったので、どうなることかとちょっと心配しているんですが。。
この場合、中村さんだと、幾ら技術料がかかりますか?あと原因は何だと思いますか??
治るとしたらどこに注意してもらわなければいけませんか???
私も福岡出身なので、これが実家に帰った時に壊れてくれれば、そく中村さんに修理をお願いしたいところだったのですが(先月は福岡にいました。。)。。
やはり、もうPCが古いので買い替え時期なのでしょうか??
いろいろと勉強になります。ありがとうございました。
Posted by: eminha | Dec 07, 2009 02:56 AM
eminhaさん、お問い合わせありがとうございます。
>海外在住(ブラジル)なので、全くビジネスにはならないんですが。。。
半分は社会貢献で対応しています。その代わり、個人情報以外のやりとりは公開が前提です。また、ビジネス優先で多忙時は返信できないこともありますのでご了承ください。
さて、まず一般的な話ですが、、、
>リカバリーのDVDもあったのでしました。
(0)正しい診断を付けることが最優先です。
故障部位・故障原因を特定できなければ適切な復旧作業ができません。ハードウェア故障でHDDが無傷(完全復旧できる状態)であった場合でも、気付かずにリカバリーしてしまうとHDDのデータは復旧不可能な状態になります。
>原因は何だと思いますか??
(1)原因はハードウェアの障害と推定できます。
リカバリー後に状態が悪化していることから、ハードウェア故障の可能性が高いでしょう(リカバリーの仕方によってはソフトウェアの可能性も残るのですが)。「開けて閉めると突然に画面が変わり」ということから、閉めた瞬間の機械的な振動が「最後の一押し」になったのでしょう。DVDが回らないということは、DVDもしくは周辺の基板などが機械的・電気的に破損していると推定できます(現物を診断しないと断定できません)。
>どうなることかとちょっと心配しているんですが。
(2)作業者の技術力やモラル次第ですが、残念ながら「ブラジルのPCのショップ」については情報が全くありません。
>幾ら技術料がかかりますか?
現物を診断しないと明言できませんが、技術料は基本的に5150円(税込)以上となります。仮にハードウェア復旧の操作(部品交換)だとすると、技術料の他に部品代実費+送料+関税その他も必要です。Yahoo!オークションでCF-Y2の中古価格が1万円~3万円ですので、部品代はこの価格が上限です。送料・関税は不明です(現地で新品を購入した方が安くなるかもしれません)。
>治るとしたらどこに注意してもらわなければいけませんか???
修理費用と上記の中古入手費用を比べて安い方をお選びいただくのがよいかと思います。リカバリー後ではデータ復旧のしようがありませんので、ハードウェアに関する費用が中心となります。
Posted by: 中村友一 | Dec 07, 2009 09:00 AM
適切なアドバイス、ありがとうございました。
明日頃に、一応診断結果が出るので、その金額とこっちのPCの価格と見比べて検討してみます。。
Posted by: eminha | Dec 08, 2009 08:06 AM
フリー版を仕事で使ってはいけません。
Posted by: アバスト | Jan 05, 2010 11:53 PM