M　U　u　の　ブ　ロ　グ

「ClamWin Free Antivirus」は、非常駐監視型のアンチウイルスです。
システムをリアルタイムに監視＆保護してくれるタイプのセキュリティソフトではなく、自分が必要とした時のみウイルスチェックを行うことができる... というオンデマンドなウイルス対策ソフトです。
他の常駐 or 非常駐監視型 のセキュリティソフトと干渉し合うことがないので、メイン、サブとして使用しているアンチウイルスと併用できるところが最大の特徴。
多機能という感じではありませんが、シンプルな分使いやすいソフトです。
また、一部のスパイウェアにも対応しているようです。

基本的な使い方は以下のとおり。

​​準備

1. 「ClamWin.exe」を実行します。
2. ウイルス定義のデータベースが数日間（ 5 日間以上）アップデートされていないと、 定義ファイルのアップデートを行いますか？という内容のダイアログ が表示されます。
3. もしそのようなダイアログが表示されたら、「はい」を選択してアップデートを行っておきます。
4. まず最初に、「ウイルスが検出された場合、どのように対処するのか」ということを設定します。
   メニューバー上の「Tools」から「Preferences」を開き、「General」タブをクリックします。
5. 下部の「Infected Files」欄で、検出されたウイルスの処理方法を選択します。
   指定できる処理方法は、次の 3 つ。
   • Report Only　-　レポートに表示するだけ
   • Remove　-　削除する
   • Move To Quarantine Folder　-　 “ 隔離フォルダ ” に移動させる
   誤検出のことも考えると、「Report Only」や「Move To Quarantine Folder」にしておくのがベターです。
6. 次に、メニューバー上の「Tools」から「Download Virus Database Update」を選択し、定義ファイルのアップデートを行います。
   （起動時にアップデートが行われた場合、この操作は必要ありません）
   定義ファイルのアップデートを行っておかないと、新種のウイルスに対応できないので注意が必要です。

​​​​ウイルススキャン

1. メイン画面のフォルダツリーの中から、スキャン対象としたいドライブ / フォルダ を選択し、画面下部の「Scan」ボタンをクリックします※2。
   2 メモリ上のアイテムをスキャンしたい場合は、メニューバー上の「File」→「Scan Memory」を選択。
2. ウイルススキャンが実行されるので、しばらく待ちます。
3. スキャンが終了すると、ログ画面に「SCAN SUMMARY」という検査結果が表示されます。
   ここには、
   • Known viruses　-　「ClamWin」で検知できるウイルスの数
   • Engine version　-　「ClamWin」スキャンエンジンのバージョン
   • Scanned directories　-　スキャンしたフォルダの数
   • Scanned files　-　スキャンしたファイルの数
   • Skipped non-executable files　-　スキップしたファイルの数
   • Infected files　-　感染していると思われるファイルの数
   といった情報がそれぞれ表示されます。
   「Infected files: 0」と表示されていたら、怪しいファイルは見つからなかったということなので、これにて作業終了です。
   もし「Infected files: n」と表示されていたら、怪しいファイルが検出されたということです。
4. ウイルスと思わしきファイルが検出された場合、それらの “ フルパス : ウイルス名 ” が「SCAN SUMMARY」の上の方に一覧表示されます。
   ウイルスが検出された際に、ファイルを「削除」するように設定していた場合は、表示されているファイルが既に削除されている（はず）なのでこれにて作業終了※3。
   3 「Not removed」と表示され、自動で削除されない時もある。
   その場合は、削除を手動で行う必要がある。
   「レポートに表示する」や「隔離フォルダに移動」するように設定していた場合は、検出されたファイルのパスを確認し、必要であれば手動で隔離したり削除したりしておきます※4。
   4 削除する前に、ファイル名をWeb 検索にかけたり、オンラインスキャン にかけたりし、検出が語検出でないか確認しておくとよい。
   ちなみに、このスキャン結果のログは、テキストファイルとして保存しておくこともできます。
   （下部の「Save Report」ボタンから）

1. 「ClamWin」の隔離室は、特に何も設定していなければ
   C:¥ProgramData¥.clamwin¥quarantine
   になっています。
   （OS によって違うので、「Tools」→「Preferences」を開き、「Infected Files」欄で確認する）
   このフォルダは通常隠しフォルダになっているため、隔離室内のアイテムを管理する時は、隠しフォルダを表示できる状態にしておく必要があります※5。
   5 適当なフォルダをエクスプローラで開き、「ツール」から「フォルダオプション」を選択 →「表示」タブを開き、「隠しファイル、隠しフォルダー、および隠しドライブを表示する」にチェック → 下部の「OK」ボタンを押す。
2. 「C:¥ProgramData¥.clamwin¥quarantine」を開くと、隔離中のファイルが一覧表示されます。
   ファイルを復元する時は、目的のものをコピーし、適当なフォルダに貼り付け → 拡張子「.infected」を削除するだけ。
   ファイルを削除する時は、普通に削除してOK です。

1. メニューバー上の「Tools」から「Preferences」を開きます。
2. 「Scheduled Scans」タブを開きます。
3. 右上の「Add」ボタンをクリック。
4. 「Scheduled Scans」という画面が表示されます。
   ここで、
   • Scanning Frequency　-　スキャン頻度※6
   • Time　-　時間
   • Day Of The Week　-　曜日
   • Scan Folder
   • Description　-　説明（コメント）
   を設定し、下部の「OK」ボタンを押します。
   6 スキャン間隔は、Hourly（毎時）/ Daily（毎日）/ Workdays（平日）/ Weekly（毎週）の中から選ぶことができる。
5. スケジュールを複数登録したい場合は、同じようにして登録処理を行います。

そのほか、送受信メールのスキャン、右クリックメニューからのスキャン、自動アップデート などの機能も付いています。

とまぁ～こんな感じみたいです

通知領域のアイコン

　クリックまたは右クリックすると、Clam Sentinelのメニューが表示される。

　メニュー[メモリをスキャンする]

　　現在PC上で動作しているプロセスのスキャンを行える。

　メニュー[隔離フォルダ]

　　ClamWinの隔離フォルダがエクスプローラで開く。

　　誤検出と思わしきファイルがあった場合は隔離フォルダを開き

　『VirusTotal』などで確認する。

　　　VirusTotal - Free Online Virus, Malware and URL Scanner

　　　http://www.virustotal.com/

Clam Sentinelのヒューリスティックスキャン機能　－

　デフォルト無効設定

有効にする　－

通知領域のアイコンをクリック、メニュー[設定]-[新しいマルウェアに対してシステムをモニタする]-[疑わしきファイルのみ検出]を選んでチェック。

[システムに対して疑わしきファイルを検出して警告する]は、通常のヒューリスティックスキャンに加えて、Windowsのシステムフォルダやレジストリへ行われるすべての変更/書き込みを警告するオプション。

通常は使う必要なし。

ヒューリスティックスキャン有効時、ウイルスの疑いがあるファイルが検出された場合、警告表示される。

必要に応じてClamWinの隔離フォルダへ隔離が行われる。

Clam Sentinelのヒューリスティックスキャンは『ふるまい検知』。

システムフォルダへ暗号化されたデータが書き込まれるなどの挙動があった際に、不審なファイルとして検出される。

デバイスドライバやセキュリティパッチのような安全なファイルが誤検出されることもあるので注意が必要。

Clamwinは誤検出(False Positive)をすることが他のアンチウィルスソフトよりも多いようです。ClamWinやClam Sentinelで「ウィルス検出後に隔離する」を選択している場合，自動的にquarantineフォルダにリネームされて入ってしまいますが、このような場合に元の位置に復元してくれます。

Clamwinの設定．Move to Quarantine Folderを選択しているとこのフォルダにリネームされて移動します．

Clam Sentinelの設定にある「感染したファイルが見つかったらどうするか」で「隔離フォルダに移動する」を選択しているとquarantineフォルダに移動します。

試してみると・・・

上の画面はClamwinがbitdefenderをウィルスと誤判定したところです．

次に，隔離フォルダー（U）の検疫フォルダー（Z）を選択するとClam Sentinelのquarantineフォルダに入っているファイルの一覧が表示されます．検疫フォルダー（Z）の下にSentinel Recoverのメニューがあるので起動させ、ファイルを復元する場合にはチェックを付けてから緑の復元ボタンを押します．

すると，無事に元にあった場所に戻ってくれます．

ただし，Clamwinで検出されないようにしていないと再度Quarantineフォルダに入ってしまうので注意が必要です．

正規のファイルが悪意のあるファイルと誤検出された場合　－

[ホワイトリスト]に登録し、安全であることを明示的に指定する。

隔離フォルダから元のフォルダに移動しても、再度誤検出されることがなくなる。

ホワイトリストへの登録　－

通知領域アイコンをクリックし、メニュー[詳細設定]-[スキャンされないパスまたはファイルを指定]

登録画面

画面右下のアイコンをクリックし登録したいファイルやフォルダを指定する。

左側のアイコンをクリックするとファイル、右側をクリックするとフォルダを選択可能。

[追加]釦押下してから[確認]釦押下すると、以後登録したファイルやフォルダはウイルスとして検出されなくなる。

ホワイトリストに登録すると、ClamWinのエンジンによる自動スキャンとClam Sentinelによるヒューリスティックスキャン、双方の監視対象から外されます。