お世話になります。
動画、音楽、画像ファイルの形式変更等を行うFormat Factoryというフリーソフトをインストールしました(2016年5月7日にインストール)。セットアップファイルをダウンロードした際に動作するSONAR結果は安全との事だったのでインストールしたのですが、その直後、PUA.FormatFactoryという脅威を検出しました。脅威との事なので、ソフト自体をアンインストールしシステムの完全スキャンを実施、脅威がない事を確認しました。
しかし、ソフトをアンインストールしたにもかかわらず、再度PUA.FormatFactoryの脅威を検出しました。
c:\*****\public\desktop\ format factory.lnk
c:\*****\*****\desktop\ format factory.lnk
c:\*****\*****\appdata\local\temp\ askpip_ff_.exe
c:\*****\*****\appdata\roaming\microsoft\windows\sendto\ format factory.lnk
※他にレジストリ内に脅威があると検出
その後、解決を実行しても除外を実行してもその時は正常終了するのですが、数時間するとまたPUA.FormatFactoryが脅威として検出されるようになってしまいました。 脅威を検出したとされる該当場所に、format factory.lnkやaskpip_ff_.exeといったファイルはありませんし、脅威を検出したとされるレジストリもひとつひとつ確認したのですが、そのような値自体がありませんでした。
※どうして存在しないファイルやレジストリの値を脅威として検出するのかわからない
この間、サポートに連絡しリモート操作もお願いしたのですが、解決実行をクリック後、様子を見てくれと説明され、私がやった事と何一つ変わらないと思いその後は連絡していません。
ノートンパワーイレイサーの実行もしたのですが、Format Factoryが結果一覧に表示されませんでした。
堂々巡りになってしまったので、EaseUS Todo Backupを使った5月1日(Format Factoryインストール前)時点のディスクバックアップがありましたので、そのバックアップデータを使って復元しました。ところが、その後もPUA.FormatFactoryの脅威を検出し、手詰まり状態となってしまいました。
みなさんのお知恵をお貸し下さい。
以上、宜しくお願い致します。
ライちゃんさん
わかりました。OS クリーンインストールも含めて検討したいと思います。
有難うございました。
こんにちは! ライちゃんです。
こちらではその状況を再現できませんでした。一番近い状態が、オンラインからのインストールの実行です。それをすると、ノートンが反応して阻止します。
想像ですが、neo_shizuma様のPCはオンラインからのインストールを自動的に実行するようになっているのではないでしょうか。
バックアップを戻しても同じ状態になる理由は、バックアップ時点でFormat Factoryをインストール済みの状態ではないかと予想します。解決するには、完全にシステムをリカバリするか、Format Factoryを含んでいないバックアップから復元するしかないと思います。
ライちゃんさん
回答有難うございます。
脅威を検出した画面の?です。解決(削除)/除外を選ぶ画面です。URLは今度出てきた時にメモしておきますが、検出結果は何パターンかあるようなのでヘルプの飛び先も違うかもしれません。
わかりました。今度表示された時に確認します。
それ、ノートンのどの機能が検出してるんでしょうね。クイックスキャン、SONAR、ダウンロードインサイト等脅威を検出する為の色々な仕組みがありますが、なにが反応してるんでしょう。
履歴を見ると、"PUA.FormatFactoryが自動保護によって検出されました"とあります。
データを残して復元したとか、復元方法またはバックアップの方法に問題があるのではないでしょうか。
何らかの問題があったのかもしれませんね。
普通の方法(Windowsの操作)でアンインストールすればきれいに消えていそうです。一度報告いただいた内容と同じ脅威を検出しましたが、ノートンできれいに削除できたようで、その後脅威を検出することはありませんでした。
試して頂き有難うございます。自分の環境がおかしくなってしまったのかもしれません。
今回はいろいろお手数をおかけしました。有難うございました。
こんにちは! ライちゃんです。
>そのメッセージが出た時点で駆除の処理は実行済みでファイル等は削除されています。そういう仕様です。詳しくは?ボタンからヘルプをご覧ください。
すみません。どの箇所の"?"でしょうか。?をクリックするとその説明がブラウザで表示されますが、よかったらそのURLを教えて頂けませんか?
脅威を検出した画面の?です。解決(削除)/除外を選ぶ画面です。URLは今度出てきた時にメモしておきますが、検出結果は何パターンかあるようなのでヘルプの飛び先も違うかもしれません。
<
>英語版フォーラムを見て設定された箇所は元に戻すことを推奨します。
シグネチャの除外からPUA.FormatFactoryを削除しました。削除後、早速脅威を検出しました。
それ、ノートンのどの機能が検出してるんでしょうね。クイックスキャン、SONAR、ダウンロードインサイト等脅威を検出する為の色々な仕組みがありますが、なにが反応してるんでしょう。
<
>完全なバックアップから復元していないのだと思います。システムの復元を使ったのではありませんか。すぐに解決したいのなら、システムを完全にリカバリしてください。それが一番確実で迅速な解決方法です。
復元は EaseUS Todo Backupのディスクバックアップを使用しました。前回の復元はWindowsが起動した状態から復元しました。
今回、 EaseUS Todo Backupの ブータブルディスクを使用しディスクの復元したのですが、復元後やはりPUA.FormatFactoryの脅威を検出してしまいました。ディスクの復元って丸ごと復元される訳ではないのでしょうか。
EaseUSは少し使ったことがあります。ソフトのインストール前の時点に完全に戻したのならそのような脅威を検出する訳はないと思います。データを残して復元したとか、復元方法またはバックアップの方法に問題があるのではないでしょうか。
少しヘルプを見てみましたが、EaseUSの「ディスク/パーティションバックアップ」なら完全なバックアップが取れるはずです。
<
>時間があるときにこのソフトをインストールして実験してみます。インストール方法は2種類あるようですが、どちらからインストールしましたか。「online installer」と「無料ダウンロード」の2種類です。
お手数をおかけします。私は「無料ダウンロード」を使用しました。
今試していますけど、普通の方法(Windowsの操作)でアンインストールすればきれいに消えていそうです。一度報告いただいた内容と同じ脅威を検出しましたが、ノートンできれいに削除できたようで、その後脅威を検出することはありませんでした。
あやしいところはありますけどそんなに悪質なものではないと思うのですけどね。
ライちゃんさん。
回答有難うございます。
そのメッセージが出た時点で駆除の処理は実行済みでファイル等は削除されています。そういう仕様です。詳しくは?ボタンからヘルプをご覧ください。
すみません。どの箇所の"?"でしょうか。?をクリックするとその説明がブラウザで表示されますが、よかったらそのURLを教えて頂けませんか?
英語版フォーラムを見て設定された箇所は元に戻すことを推奨します。
シグネチャの除外からPUA.FormatFactoryを削除しました。削除後、早速脅威を検出しました。
完全なバックアップから復元していないのだと思います。システムの復元を使ったのではありませんか。
すぐに解決したいのなら、システムを完全にリカバリしてください。それが一番確実で迅速な解決方法です。
復元は EaseUS Todo Backupのディスクバックアップを使用しました。前回の復元はWindowsが起動した状態から復元しました。
今回、 EaseUS Todo Backupの ブータブルディスクを使用しディスクの復元したのですが、復元後やはりPUA.FormatFactoryの脅威を検出してしまいました。ディスクの復元って丸ごと復元される訳ではないのでしょうか。
時間があるときにこのソフトをインストールして実験してみます。インストール方法は2種類あるようですが、どちらからインストールしましたか。「online installer」と「無料ダウンロード」の2種類です。
お手数をおかけします。私は「無料ダウンロード」を使用しました。
以上、宜しくお願い致します。
こんにちは! ライちゃんです。
PUA.FormatFactoryを検出すると、NISは自動で削除するのではなく、解決(削除)するのか除外するのかを選択します。
そのメッセージが出た時点で駆除の処理は実行済みでファイル等は削除されています。そういう仕様です。詳しくは?ボタンからヘルプをご覧ください。
>
外部サイトにリンクされており、クリックしたところ×印が付き遮断されたのですが、「このwebページを表示できます」をクリックし、セットアップファイルをダウンロードしました。
ノートンが遮断しますね。
>
>英語フォーラムにあるのは脅威を無視して使うような内容ではなかったのでしょうか。
→詳細な内容はすみません。わかりません。
英語フォーラムの方は、ソフトが必要だから脅威があることを了解して使いたいと言っているように思えます。英語版フォーラムを見て設定された箇所は元に戻すことを推奨します。
>
確認したいのですが、なぜFormat Factoryインストール前のバックアップデータを使って復元した後もPUA.FormatFactoryの脅威が検出されるのでしょう。
完全なバックアップから復元していないのだと思います。システムの復元を使ったのではありませんか。
>
時間があるときにこのソフトをインストールして実験してみます。インストール方法は2種類あるようですが、どちらからインストールしましたか。「online installer」と「無料ダウンロード」の2種類です。
すぐに解決したいのなら、システムを完全にリカバリしてください。それが一番確実で迅速な解決方法です。他の方法としては、セーフモードでシステムの復元を試してみる(効果不明)、ノートンブータブルリカバリツールを試す(たぶん無駄)、ノートンサポートに継続して相談するといった方法が採れます。
ライちゃんさん
回答有難うございます。
ライちゃんさんの指摘された確認事項をみて、どうも自分で良くない操作をやったように思います。
>ファイルが復活しているのではありませんか。自動で復活したのをノートンが削除しているように思いますがちがいますか。
→PUA.FormatFactoryを検出すると、NISは自動で削除するのではなく、解決(削除)するのか除外するのかを選択します。ライちゃんさんの指摘通り、私も最初は解決を実行した結果、脅威があるとなったファイルやレジストリがなくなったのかと思いました。ですから再度脅威を検出した際に、解決や除外をせずに該当ファイルやレジストリがあるか確認したのですが、なかったんです。
>セキュリティ履歴に検疫した結果が残っていませんか。
→Format Factoryインストール前のバックアップデータを使って復元しましたので、以前の履歴はありません。ただ、復元後検出した履歴はあります(3回検出)。全て除外を指定しました。内容は最初に投稿した脅威内容と同じでした。
>ネットで検索してみるとバンドルソフト(抱き合わせ)が悪いみたいに書いてある情報があったんですが、そちらもアンインストールしましたか。
→Format Factoryをインストールする際にASKツールバーとHao123を併せてインストールする様になっているみたいなのですが、Uncheckyを使用している為なのかASKツールバーもHao123もインストールされていません。「プログラムと機能」の中を確認しましたがありませんでした。
>あと、良ければダウンロードした時のURLを教えてください。
→これが今回いけなかった事なのかと思っています。
先ずVectorから
http://www.vector.co.jp/soft/winnt/art/se506851.html
外部サイトにリンクされており、クリックしたところ×印が付き遮断されたのですが、「このwebページを表示できます」をクリックし、セットアップファイルをダウンロードしました。
>英語フォーラムにあるのは脅威を無視して使うような内容ではなかったのでしょうか。
→詳細な内容はすみません。わかりません。
https://community.norton.com/en/forums/puaformatfactory-part-program-i-use-and-norton-trying-delete-it
確認したいのですが、なぜFormat Factoryインストール前のバックアップデータを使って復元した後もPUA.FormatFactoryの脅威が検出されるのでしょう。
こんにちは! ライちゃんと申します。
>※どうして存在しないファイルやレジストリの値を脅威として検出するのかわからない
ファイルが復活しているのではありませんか。自動で復活したのをノートンが削除しているように思いますがちがいますか。セキュリティ履歴に検疫した結果が残っていませんか。ノートンが駆除しているのでファイルやレジストリがないように見えるのかもしれません。
>ソフト自体をアンインストールしシステムの完全スキャンを実施、脅威がない事を確認しました。
ネットで検索してみるとバンドルソフト(抱き合わせ)が悪いみたいに書いてある情報があったんですが、そちらもアンインストールしましたか。
あと、良ければダウンロードした時のURLを教えてください。
>英語のフォーラム内に似たような投稿があり、そこにシグネチャの除外設定をしろといった旨の投稿がありましたので、私もその設定をしてみました。これで様子をみてみます。除外したら脅威として検出できなくなるのでは? 英語フォーラムにあるのは脅威を無視して使うような内容ではなかったのでしょうか。
とりあえず、復活したファイルが駆除されているかどうか確認してはどうでしょうか。
念のため、完全スキャンもしておくと良いでしょう。
参考)シマンテックでみつけた情報(英語)。一般的なことか掲載されていないので駆除の役には立たないと思います
https://www.symantec.com/security_response/writeup.jsp?docid=2015-072910-1148-99
前投稿内容に不足したと思われる情報を以下に記します。
OS:Win7 Pro 64bit
NIS:22.6.0.142
脅威を検出したタイミング:自動保護 ※起動時の保護:拡張設定
その他実行した事:Malwarebytes Anti-Malwareにてスキャン ※正常終了
前投稿後、formatfactoryでフォーラム内を検索したところ、英語のフォーラム内に似たような投稿があり、そこにシグネチャの除外設定をしろといった旨の投稿がありましたので、私もその設定をしてみました。これで様子をみてみます。
ただ、なぜ存在しないファイルやレジストリを脅威として検出するのか、Format Factoryインストール前のバックアップデータで復元した後も脅威を検出するのかといった疑問は残りますが...。