「ファイルを復元して除外リストに追加」後、VirusTotal検査してやはりウィルスの可能性が高かったときは、
①「設定」→「アンチウィルス」→「スキャンからの除外」から該当を削除
②復元したファイルを右クリック再スキャン→ウィルス検知→削除(またはチェストへ移動)
上記手順でよろしいでしょうか。
「ファイルを復元して除外リストに追加」を利用した後であれば、この手順で問題ありません。
ただ過去には、感染ファイルのあるフォルダを開いただけで発動するウイルス(※1)というものもいましたので、「復元と同時に除外に追加」というのは、誤検知の可能性が極めて高い場合にしかお勧めしません。
ファイルシステムシールドの除外設定を利用すれば、読み書き時スキャンだけを除外して実行時スキャンは除外しない、といった設定も可能ですので、展開専用のフォルダを作っておくというのも有効です。
もっとも、上記のタイプのウイルスの場合にはあまり意味がないのですが・・・。
※1
アイコン表示機能に存在した脆弱性を狙ったもので、WindowsUpdateにより修正されたため、現在は問題ありません。
”チェスト内に移動したexeファイルに対してAvastで復元すると、場所が復元されるだけでファイルそのものは無効化されたままでした。” ※
という書き込みを見つけ、少し混乱しています。「復元」は機能もすべて完全に隔離前の状態に戻すものではないのでしょうか?
他サイトも少し調べてみたのですが、同件についての書き込みを見つけられず、よく分かりませんでした。
※OKWawe「avastでトロイの木馬が検出されたが・・・」http://okwave.jp/qa/q5494543.html
ファイルを復元すれば、ファイルとしては全て元通りに復元されます。
リンク先の記事は、かつて大規模に発生した誤検知の際のもので、おそらく「再実行するとまた検知・隔離されてしまう」ということを言おうとしたのではないでしょうか。
上記2つのようなことを考えると、いっそウィルスを検知したらすぐにチェストに移動せず、即行で「VirusTotal」検査してからその後の対応を考えた方がスムーズかと思いますが、それも一つのやり方として考えてよろしいでしょうか。
または、avastの一時的な停止(アバスト!シールド制御→10分間無効にする)が有用でしょうか。
Virustotalも定義の更新にラグがあること、また近年は各社とも通常の定義以外の部分での検知に力を入れていること(avastでいうディープスクリーンといった振る舞い検知)から、Virustotalの結果だけを当てにするのは危険です。
出たばかりのウイルスの場合、Virustotalの定義に反映されていない場合もあり得ますので。
今回のように誤検知の可能性が高い場合はともかく、通常は「まずは隔離」しておくのが安全かと思います。
また、先述した「読み書きのみ除外」は、シールド停止中に誤って実行ファイルを起動してしまい、マルウェアが発動するのを防ぐのに有効です。
シールドを停止してしまうと、関係ないファイルのスキャンまで停止してしまいますので、シールドを停止するくらいであれば丸ごと除外の方が安全です。