印刷する
作成日: 2009-02-11 05:43:21
更新日: 2012-02-20 18:46:16

このページを見た方は以下もチェックしています

バージョン 7.3 / 8.0 :ツール:暗号化された隔離ファイルを元に戻す方法
ID: JP-210319
製品: ウイルスバスター コーポレートエディション - 7.3, 8.0
OS: Windows
ウイルスバスター コーポレートエディション(以下、ウイルスバスター Corp.) 7.3 / 8.0 の検索処理によって隔離されたファイルが暗号化されています。このファイルを元の状態に戻す方法はありますか。

ウイルスバスター Corp.は、ウイルスに感染したファイルを検出すると、

    1. 感染ファイルを暗号化します。

    2. 暗号化したファイルをクライアントのSuspectフォルダ(初期設定:C:¥Program Files¥Trend Micro¥OfficeScan Client¥Suspect)に移動します。

    3. 次にサーバのVirusフォルダ (初期設定:PCCSRV¥virus) に送ります。
    暗号化したファイルがサーバに送られると、クライアントのSuspectフォルダから暗号化したファイルが削除されます。

感染したファイルを暗号化するのは、ユーザがそのファイルを開いて、コンピュータ上の他のファイルに感染させるのを防ぐためです。

このためファイルの復旧時に、隔離ファイルを元のフォルダにコピーしたり拡張子の名前を変更するだけでは元のデータには戻りません。

暗号化の解除には専用ツール(感染ファイルの暗号化の復元ツール:VSEncode.exe)が必要になります。
このツールについては、Webマネージャの[ツール]-[クライアントツール]の[感染ファイル暗号化処理の復元ツール (VSEncode.exe)]をクリックすることにより、ツールの場所や使用方法の確認が可能です。

※以下に記載する手順を実施されても、ウイルス検索エンジン 8.950 によって暗号化された隔離ファイルを元に戻せない(復号化できない)現象を確認しております。
本現象につきましてはこちらのページにて情報を公開しております。


下記にツールの場所と使用方法の情報を抜粋いたします。

■ Suspectフォルダにあるファイルを復元するには

    ※作業を行われる前に、暗号化したファイルがSuspectフォルダに保存されていることを確認してください。
    Suspectフォルダに暗号化したファイルが保存されていない場合は、ウイルスバスター Corp. サーバのVirusフォルダから暗号化したファイルをコピーしてください。

    1. ウイルスバスター Corp. サーバ上で、Windowsエクスプローラを起動し、ウイルスバスター Corp.のPCCSRV¥Admin¥Utility¥VSEncryptフォルダに移動します。

    ※ウイルスバスター Corp. クライアントから ¥¥ウイルスバスター Corp. サーバのIPアドレス¥ofcscan¥Admin¥Utility を開くことも可能です。

    2. VSEncryptフォルダ全体を、クライアントコンピュータにコピーします。

    ※ここでは、クライアントコンピュータのデスクトップに VSEncryptフォルダを置いたと仮定します。

    注意:
    VSEncryptフォルダを、ウイルスバスター Corp.クライアントのインストールフォルダにコピーしないでください。感染ファイル暗号化処理の復元ツールのVsapi32.dllファイルが、オリジナルのVsapi32.dllと競合を起こします。

    3. コマンドプロンプトを開き、VSEncryptフォルダをコピーした場所に移動します。
    例)Cドライブ直下にフォルダをコピーした場合は、「cd “C:¥VSEncrypt”」と入力し、エンターを押します。



    ※コマンドプロンプトにて、最初に“cd”と入力し(cdの後に半角スペースが入ります)、Cドライブ上のVSEncryptフォルダをコマンドプロンプト上にドラッグ&ドロップした後にエンターを押すことで、VSEncryptフォルダに移動することも可能です。

    4. 次のパラメータを使用して、感染ファイル暗号化処理の復元ツール(VSEncode.exe) を実行します。

    ・-d ― Suspectフォルダにあるファイルを復号化します。

    例)コマンドプロンプトにて、VSEncryptフォルダへ移動している、上記の続きから、「VSEncode.exe -d」と入力し、エンターを押します。


※参考

    その他のパラメータを指定することにより、以下が実行可能となります。

    ・パラメータなし ― Suspectフォルダにあるファイルを暗号化します。

    ・-debug ― デバッグログを作成し、ユーザの一時フォルダ(C:¥Documents and Settings¥<User name>¥Local Settings¥Temp)に出力します。

    ・/o ― 暗号化ファイル/復号化ファイルがすでに存在する場合に、上書きします。

    ・/nr ― 元のファイル名を復元しません。

    たとえば、Suspectフォルダにあるファイルを復号化し、デバッグログを作成するには、「VSEncode -d -debug」と入力します。

    ファイルを復号化/暗号化する際には、ウイルスバスター Corp.によって、Suspectフォルダ内に復号化/暗号化されたファイルが作成されます。
    例)C:¥Program Files¥Trend Micro¥OfficeScan Client¥Suspect

    <注意事項>

      o VSEncode.exeを不用意に使用するとウイルスに再感染する恐れがあります。
      感染ファイルの復元処理の際には十分にご注意ください。可能であればネットワークに接続されていないコンピュータで実行してください。

      o VSEncode.exe 実行時にウイルスバスター コーポレートエディションおよび、その他のウイルス対策製品が有効になっていると、復旧したファイルが再度処理される事があります。この場合は当該のウイルス対策製品を一時的に無効にしてください。

      o VSEncode.exe は、マルチバイト文字に対応しておりません。日本語のファイル名は半角英文字のファイル名に変更してから、復元処理を行ってください。
このソリューションに関して、ご意見をお聞かせください。
このソリューションは問題解決に役に立ちましたか。
はい いいえ
このソリューションの内容を改善するために、ご提案/ご意見がありましたらお聞かせください。
※こちらに技術的なご質問などをいただきましてもご返答する事ができません。
   何卒ご了承いただきますようお願いいたします。
本ページで問題が解決しない場合はこちらへ