悪代官の伏魔殿掲示板

どなたかわかる方いたら教えて下さい。よろしくお願いいたします。

■■■■■[質問内容]■■■■■
Windows Defender(Windows 8.1付属)にて検出されたファイルの隔離（？）場所を教えて下さい。

■■■■■[現状]■■■■■
・検出されたファイル一覧の詳細に表示されるディレクトリを開いてもその場所にない
・Windows Defenderの設定のうち、「一定期間経過後に検出されたファイルを消去する」に関して無効にしてある
・一覧からファイルを選択して「項目を許可」というボタンを押して再度ディレクトリを開いても表示されない

Googleで調べたのですがさっぱりわかりません。
どうぞよろしくお願いいたします。

こんばんは。
ここの管理人の悪代官です。
説明をうかがいました。

>Windows Defender(Windows 8.1付属)にて検出されたファイルの隔離（？）場所を教えて下さい

WDで検出された内容の確認方法ですか。

普通は以下の手順で確認可能です。

WDを起動して画面上部の「隔離」を押すと検出された内容が表示されます。
そこで表示されないときは「検疫されている項目」をクリックしてから、次の画面で「表示」を押すと表示されます。

表示されたら画面上部に検出結果の概要が出るので、そこで対象のものを一度押すと画面下部にその詳細が表示されます。

表示されたら「リソース」欄に出ている内容をコピーしてから、それをレスに貼って見せてください。
この時ユーザー名を本名で設定している場合はユーザー名箇所は適当に伏せておいてください。

それと、「調べてみたけどもわかりませんでした」という投稿名は面倒なので次回以降は適当な投稿名に変更をお願いします

返信ありがとうございます。
面倒な名前失礼しました。

以下リソースと思われる(リソース欄がどこだかわかりませんでした)テキストのコピペです。
よろしくお願い致します。
■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■
カテゴリ: バックドア

説明: このプログラムは、インストールされているコンピューターに対して、リモート アクセスを提供します。

推奨される操作: このソフトウェアをすぐに削除します。

項目:
file:H:\WINDOWS\system32\dots1.exe

この項目について詳細情報をオンラインで参照します。
■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

レスが遅くなってすみません。
WDの検出内容を見せてもらいました。

>file:H:\WINDOWS\system32\dots1.exe

まず確認ですが、Cドライブではないパーティションか、外付けHDDを使用していますか？
HドライブにWINDOWSフォルダがあるようですが。

それと、下記の学習ソフトを使ってますか？
http://www.vector.co.jp/soft/dl/win95/edu/se137899.html
「カードであそぼう「数字・ドッツ」 for Win」

もしこれを使っていたなら、誤検出の可能性がありますね。
使ってもいないなら同名ファイルの素性をしらべることになります。

いずれにしてもこのファイルの誤検出だけかどうか、現時点では判断できないので、全体を調べることをお勧めします。
HJTとインストール情報ログを用意したうえで、それを見せてもらえますか。
http://akumaden.web.fc2.com/prepare.html

http://akumaden.web.fc2.com/index.html

2つのログも見せてもらったうえで、WDの検出結果も含めて慎重に調べたほうがいいです

返信遅くてすみません。

・外付けをHDD使用してます
・学習ソフトは使用していません

以前に使用していたPCがあり、その中からデータを拾い集めて復旧させているところであるため
外付けHDDを使用しております。
前回貼り付けた画像の中には一つしか検出されたものがないですが、画像を加工して他のものを
消去しています。
その中に復旧させたい実行ファイルがあり、それはウィルスではないと解っているものです。
そのことより隔離された（？）（表示されていないだけ？）ファイルの場所を知りたいのです。

よろしくお願い致します。

レスが遅くなってすみません。

追加の説明も見せてもらいました。

>・外付けをHDD使用してます
>・学習ソフトは使用していません

一つ目はいいとして、二つ目の学習ソフトについては使用歴ないわけですね。
とするとかなり怪しいと見るべきです。

いずれにしても全体のログを見てからでないとうかつな対処もできませんので、お時間と余裕ができたら2つのログを準備して、それをレスで見せてください。

調べたいファイルというのも解析しないと白黒の判断は出せません

すみません、遅くなりました。

ウィルスであるかどうかではなく、隔離されたファイルの場所を知りたいだけなのですが
お分かりなら教えていただきたく投稿させていただきました。

今日もレスが遅くなってすみません。
こうやって敵を焦らしてから隙を突いて倒すのが悪代官の策略です（←いったい何と戦ってるんだ

>ウィルスであるかどうかではなく、隔離されたファイルの場所を知りたいだけなのですが

それなら先に検出隔離したWDの検疫画面で、対象を選択して「復元」すれば隔離前の場所に復元されます。

ですが、学習ソフトではない素性不明のファイルがそれもsystem32フォルダに作成されていたことを考えると、復元するのはかなり注意すべきです。
復元したら下記サイトで該当ファイルのスキャンしてみてください。
https://www.virustotal.com/ja/

その結果を見たうえで自己責任で判断をお願いします

ありがとうございました。
ファイルは元の位置に戻り、他の安全だと分かっているファイルの救出も完了しました。

尚、「file:H:\WINDOWS\system32\dots1.exe」に関しては元の位置に戻った後に
教えて頂いたサイトで調査したところ、結果自体はよくわからないものでしたが、50/57
のセキュリティソフト（？）にてウィルスと診断された模様です。
以前に誰かが調査したファイルでもあるようで、自分のPCだけではないようです。
system32直下のファイルは救出するつもりもありませんので当然安全のため消去しました。

長い間ありがとうございました。