ビジネスサポートポータルアカウントでログイン
ウイルスとして検出されたファイル(検体)の採取方法  

ウイルスとして検出されたファイル(検体)の採取方法

    • 更新日:
    • 17 Jul 2017
    • 製品/バージョン:
    • ウイルスバスター ビジネスセキュリティ 7.0
    • ウイルスバスター ビジネスセキュリティ 9.0
    • OS:
    • Windows すべて
概要
検出されたウイルスファイルを調査する為には、実際に検出されたファイルを解析する必要がある場合があります。
 
本製品Q&Aでは、検出されたファイルの確認から取得までの流れや手順を説明しています。
詳細
Public
ウイルスバスタービジネスセキュリティおよびTrend Micro ビジネスセキュリティ(以下、ビジネスセキュリティ) によって、ウイルスやスパイウェアとして検出されたファイルを取得するまでの大まかな流れは以下のとおりです。
 

大まかな流れ

Step 1 ウイルスログから、処理結果/検出ファイル名/ファイルパスを確認

 
ウイルスログから、処理結果 / 検出されたファイル名 / フォルダを確認します。
 
検体となるファイルを取得するには、ファイル名とそのファイルがどのフォルダに格納されているかを正確に把握する必要があります。
 
ウイルスログの確認方法はこちらを参照してください。
 
 
  • 処理結果を確認する
     
    ビジネスセキュリティがウイルスを検出した際に行った処理結果によって、検体が格納されているフォルダが異なります。その為、処理結果からまず確認を行う必要があります。
     

    隔離処理が成功している場合

     
     
    • 隔離処理されたファイルは通常、ビジネスセキュリティサーバの隔離フォルダへ移動されます。
       
      例:C:\Program Files\Trend Micro\Security Server\PCCSRV\Virus
       
       
    • 隔離されたファイルをビジネスセキュリティサーバへ移動できなかった場合は、ビジネスセキュリティクライアントの隔離フォルダへ残っています。
       
      例:C:\Program Files\Trend Micro\Client Server Security Agent\SUSPECT
         
      ※いずれの場合も暗号化され、隔離処理されていますのでご安心ください。
       
       

    隔離処理が失敗している場合、隔離以外の処理を設定している場合

     
    Step2へ進んでください。
     
      
  • 検出されたファイル名を拡張子まで正確に確認します。
     
    OSの初期設定では、拡張子の表示が無効になっています。その為、次項の操作で拡張子を表示させる設定へ変更する必要があります。
     
  • ファイルパスを確認する 該当のファイルがどのフォルダへ格納されているかを確認するには、ファイルパスを確認します。
     
     
    (※)OSの初期設定では、拡張子の表示が無効、すべてのフォルダを表示しない設定となっています。その為、次項の操作で拡張子を表示させ全てのフォルダも表示させるよう設定変更する必要がある場合もあります。
     
 

Step 2 OSの設定を変更し、拡張子とすべてのファイル/フォルダを表示させる

 
OSの初期設定のままでは、ファイルの拡張子が非表示になっていたり、OS内の一部のファイルしか表示しない設定になっています。
 
検体ファイルを探す際には、これらの設定を変更し、拡張子やすべてのファイルを表示させておく事をお勧めします。操作方法については、次の製品Q&Aを参照してください。
 

 

Step 3 検出されたファイルを確認したファイルパスから取得する

 
ウイルスログなどから確認したファイルパスを参考に、該当フォルダからファイルを取得します。
  • 検出されたファイルは暗号化されていません。他のコンピュータへ感染する危険もあるため、取扱いにはご注意ください。

  • ファイルをコピーや移動の操作をする際には、ビジネスセキュリティクライアントのリアルタイム検索を一時的に無効へしておく必要があります。

    リアルタイム検索を有効のままの状態でファイル操作を行っても、ウイルス対策が有効のままのため、再度検出してしまいます。
 
ファイルが見つからない、見つけたファイルをコピーできない場合は、
以下の操作をお試しください。
 
 
※Windows XPでの操作を例に説明しています。
 

[方法1]他の不正プログラムが影響している可能性

 
他の不正プログラムが原因でファイルが影響している可能性があります。そこで、最新のパターンファイルへアップデート後、コンピュータ上のすべてのファイルを手動検索し直してください。
 
そこで、処理可能な全てのファイルを削除、隔離などの処理を行います。
 
その後、改めて該当ファイルが見つかるかどうか確認してください。
 

[方法2]Windowsの検索機能を使う

 
  1. [スタート] -[検索] -[ファイルやフォルダ] をクリックします。
     

     
     
  2. [ファイルとフォルダすべて] をクリックします。
     

     
  3. 探したいファイル名を入力し、[検索]ボタンをクリックします。

    例:下記ではビジネスセキュリティクライアントのNtrtscan.exeを探しています

     
     
  4. 検索結果が表示されます。
     
    "フォルダ名"の項目を確認し、ウイルスログ から確認したファイルパスにあるファイルを取得します。
     

     
     

[方法3]セーフモードを使う

 
該当ファイルをOS側の何らかのプログラムやプロセスが使用中である可能性が考えられます。
 
Windowsをセーフモードで起動すれば、OSを最小限のシステムファイルのみで起動できるため、他の何らかのファイルやプロセスの影響を受けずにファイルを取得できます。セーフモードで起動し直し、改めてファイルの取得を試してください。
 
Windowsをセーフモードで起動する方法はこちらをご参照ください。
 

[方法4]コマンドプロンプトを使う

 
コマンドプロンプトを使って、ファイルの検索・属性の解除・コピーを行います。
 
ファイルを検索

 
  1. ウイルスログから確認したフォルダをエクスプローラなどから開いておきます。 
     
    例:下記では、<c:\WINDOWS\system32>フォルダを開いています。

     
     
  2. キーボード上の[Windows]キーと[R]キーを同時に押します。
     
     
  3. 名前覧に" cmd "と入力し、[OK]ボタンをクリックします。
    コマンドプロンプトが開きます。
     

     
     
  4. プロンプトへ次のコマンドを入力します。

    > cd▲
     
    ※▲はスペースを意味しています。


     
     
  5. 手順1.で開いておいたフォルダのアドレス欄から、フォルダのアイコンをプロンプト内へドラッグ&ドロップすると、フォルダがプロンプトへコピーされます。
     

     

     
     
  6. [Enter]キーを押すと、コピーされたフォルダへ移動されます。
     

     
     
  7. 次のコマンドを入力し、[Enter]キーを押します。

    "dir▲探したいファイル名"  
     
    例:現在のフォルダ内に notepad.exe が存在するかどうか確認する場合
    >dir notepad.exe


     
     
  8. ファイルが存在する場合は下記の例のように表示されます。
     

     
     
ファイルの属性を解除する
 
  1. 上記の1.~8.までの手順を実行します
     
     
  2. プロンプトへ次のコマンドを入力し、[enter]キーを押します。

    attrib▲-r▲-a▲-s▲-h▲"属性を解除したいファイル名"
     
    例:notepad.exe の属性を解除する場合
    >attrib -r -a -s -h c:\windows\system32\notepad.e


     
     
ファイルをコピーする
 
  1. ファイルを保存する為のフォルダとして、エクスプローラなどを使用してフォルダを新規作成します。
     
    例:下記では、Cドライブ直下に、"sample.trend"フォルダを作成しています。(c:\sample.trend)

     
     
  2. プロンプトへ、次のコマンドを入力します。

    xcopy▲/h▲/n▲ウイルスファイルのパス▲C:\sample.trend

    例: "C:\windows\system32\notepad.exe"ファイルを
    C:\sample.trendフォルダへコピーする場合
    > xcopy /h /n c:\windows\system32\notepad.exe :\sample.trend


     
     
  3. [Enter]キーを押すとファイルがコピーされます。
     

     
     
  4. コピーした検体ファイルの属性を解除するため、次のコマンドを入力し、[enter]キーを押します。

    attrib▲-r▲-a▲-s▲-h▲c:\sample.trend\*.*


     
     
  5. 次のフォルダ内に作成されているファイルを送付してください。

    C:\sample.trend 

Premium
Internal
評価:
カテゴリ:
操作方法/設定
Solution Id:
1309160
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!

いただいたご提案/ご意見に関して、トレンドマイクロから詳細確認のため、Eメールを送付させていただく場合がありますので、Eメールアドレスを入力してください:
入力いただいたEメールアドレスはソリューション改善のためだけに使用いたします.

*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド