| HijackThis Entry Database |
|
| 名称 | ウイルスバスター Corp. クライアント |
| カテゴリ | アプリケーション |
| 推奨する処理 | そのまま保持 |
| コンパネからの削除 | 現れて削除OK |
| ベンダー名 | トレンドマイクロ株式会社 |
| ベンダーサイト | http://www.trendmicro.com/jp/products/desktop/corp/evaluate/overview.htm |
| 参考サイト | クライアントのWindows(もしくは、winnt)配下のテンポラリフォルダに作成されている犬の形をしたアイコンは何でしょうか [トレンドマイクロ solution 210324] Why does the OfficeScan Corporate Edition (OSCE) 6.5 client exhibit multiple instances of the dog icon under the Windows/Temp folder? [Trendmicro solution 122522] ウイルスバスターCorpのWatchDogについて [まっちゃだいふくの日記★とれんどふりーく★ 06/12/06] |
| HijackThisエントリ | Running processes: C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe C:\WINDOWS\TEMP\MLB989[のようなランダム英数字].EXE [★] C:\Program Files\Trend Micro\OfficeScan Client\pccntupd.exe O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - http://192.1.4.61/officescan/console/ClientInstall/WinNTChk.cab O16 - DPF: {08D75BB0-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupINICtrl Class) - http://192.1.4.61/officescan/console/ClientInstall/setupini.cab O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - http://192.1.4.61/officescan/console/ClientInstall/setup.cab O16 - DPF: {35C3D91E-401A-4E45-88A5-F3B32CD72DF4} (Encrypt Class) - http://192.1.4.61/officescan/console/html/AtxEnc.cab O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrlClass) - http://192.1.4.61/officescan/console/ClientInstall/RemoveCtrl.cab O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe [★部分過去の例 - 説明欄参照] C:\Program Files\Trend Micro\OfficeScan Client\ofcdog.exe C:\PROGRAM FILES\TREND MICRO\OFFICESCAN CLIENT\0FCD0G.EXE |
| 概略(見出し) | ウイルスバスターの法人向け製品のクライアント側。%Windir%\temp フォルダにランダム名の鶯色の番犬がいる。 |
| 説明/対処法 | ウイルスバスターの企業向けバージョンがウイルスバスター コーポレートエディションで、 通称ウイルスバスターCorp.、英語名は OfficeScan。本項はそのクライアント版に関する。 製品自体は説明を要しないが、HJT ログをみると、Windows フォルダの一時フォルダに、 ランダム英数字(5 ないし 6 の大文字のよう)の実行ファイルが起動している(登録時点ではサイズ 172,099 バイト)。 これは、ウイルスバスター Corp. の WatchDog 機能、すなわち、 %ProgramFiles%\Trendmicro\OfficeScan Client にある OfcDog.exe のコピーであって、 Windows 起動毎に生成され、ウイルスバスターのリアルタイムスキャンが機能しているかどうかを監視し、 ウイルスバスター関係ファイル群をロックしている。 ランダム名なのは、不正プログラムが OfcDog.exe という名のプロセスを 狙い打ち的に妨害する可能性があるから、これを回避するためである。 従って、HJT ログにあらわれているものは正規のファイルであって、この挙動は仕様である。 なお、過去のログでは、OfcDog.exe 自体がプロセスにあらわれているものも見られ、 どこかの時点で仕様変更がなされたものか(中間形態としてか、0FCD0G.EXE [オーでなくてゼロ]という 固定の変名で登場した時期もある[プログラムバージョン 7.0 で確認されている]。しかしこんな変装では すぐばれてしまうから、効果に乏しかろう)。 ただし、 ・Windows が強制終了したり ・不正プログラムがリアルタイムスキャンを停止させようとし(て失敗)したり すると、一時フォルダにこのようなファイルが蓄積されてゆく(そのたびに新たに生成するから 残骸が残るのだろう)。pearl さんご提供の画像参照。 その場合、現役の番犬(削除できない)以外は削除して差し支えない。 |
| メモ | 青87452の質問者 pearl さんと、ランダム名ファイルの正体をお教え下さった logo さんに深く感謝します。 |
| 情報の量 | かなり多い |
| 情報の質 | 根拠あり |
| 添付画像 | |
| 登録情報 | 登録日:2006/12/26 更新日:2007/01/03 登録者:眠 |
| データを二次利用する際には、出典がhigaitaisaku.comであることを何らかの形で明記して下さい | |
| - AmigoDatabase - |