日本サイト更新日: 2002年4月15日 16:30 W32.Badtrans.B@mm駆除ツール 最終更新日: 2002年3月29日 11:32 (米国時間) このツールが行うこと W32.Badtrans.B@mm 駆除ツールは次のことを行います。 1. W32.Badtrans.B@mmのプロセスをすべて停止させます。 2. W32.Badtrans.B@mm実行ファイルをすべて削除します。 注意:このツールで駆除できるのはW32.Badtrans.B@mmのみです。その他のW32.Badtransの亜種の駆除には使用できません。 このツールで利用可能なコマンドライン スイッチ /SILENT, /S - サイレントモードをオンにします。 /LOG - で指定した場所にツールの出力内容を保管するためのログファイルを作成します。 /START - ツールによるスキャン操作をすぐに強制開始します。 ツールの入手法と使用方法: 注意:コンピュータがW32.Badtrans.B@mmの攻撃を受けてしまった場合、そのシステムのセキュリティーが低下している可能性があります。そのため、リモートアクセス、ダイアルアップ接続、リモート共有に設定していたパスワードなど、感染したコンピュータ上で使っていたパスワードをすべて変更する必要があります。 注意:Windows NT4上でこのツールを実行するためには必ず、管理者権限でログオンする必要があります。 FixBadtr.exeファイルを下記の場所からダウンロードします。 http://securityresponse.symantec.com/avcenter/FixBadtr.exe FixBadtr.exeファイルをダウンロードフォルダもしくはWindowsデスクトップ(あるいは、感染していないことが確かなフロッピー等のリムーバブルメディア)にダウンロードします。 デジタル署名の信憑性をチェックするには、後述の「デジタル認証の確認方法」セクションを参照してください。 ツールを実行する前に、ウイルススキャンソフトを含むすべてのプログラムを終了します。 ネットワークに接続していたり、インターネットに常時接続している場合は、ネットワークおよびインターネットとの接続をここでいったん切ります。 Windows Me/XPシステム上で作業している場合、システムの復元機能をオフにしてください。詳しくは、後述の「Windows Me/XPのシステムの復元オプション」をご覧ください。 注意:Windows Me/XPをご使用の場合、この手順は省略しないでください。 FixBadtr.exe ファイルをダブルクリックして実行します。 Start ボタンを押して、駆除を開始させます。 このワームが攻撃するセキュリティホールに対応した修正パッチを適用していなかった場合は、この時点でダウンロードしてください。この修正パッチは下記ページから入手できます。 http://www.microsoft.com/japan/technet/security/bulletin/ms01-020.asp コンピュータを再起動します。 注意:このワームによって作成されるレジストリ値は、コンピュータが再起動されるまで削除されません。 駆除ツールを再度実行して、システムがクリーンな状態になったか確認します。 セキュリティホールがあるシステムにマイクロソフトの修正パッチをインストールして適用します。 Windows Me/XPをご使用の場合は、この時点でシステム復元機能をオン状態に戻します。 LiveUpdateを実行し、ウィルス定義を最新版に更新します。 注意:WindowsMe/XPを使用している場合にシステム復元機能を有効にしたまま駆除ツールを実行すると、Windowsによって外部のプログラムによるシステムの復元の改変操作が妨げられるため、駆除に失敗する可能性があります。そのため、駆除ツールが行うワーム駆除操作がすべて失敗する可能性があります。 駆除処理が終わると、お使いのコンピュータが W32.Badtrans.B@mmワームに感染していたかどうかを示すメッセージが表示されます。ワームの駆除に成功した場合、このプログラムは以下の結果を表示します。 The total number of the scanned files. (スキャンされたファイル数) The number of deleted files.(削除されたファイル数) The number viral processes terminated.(停止したウイルスプロセスの数) デジタル認証の確認方法 FixBadtr.exe はデジタル認証されています。シマンテックでは Symantec Security Response のダウンロードページから直接ダウンロードして入手したものだけを使用することを推奨します。デジタル認証の署名をチェックするには、以下の手順にしたがってください。 http://www.wmsoftware.com/free.htmをクリックします。 Chktrust.exeファイルをFixBadtr.exeと同じフォルダ(例:C:\Downloadsなど)にダウンロードします。 お使いのOSに応じて、次のいずれかを行います。 [スタート]ボタンをクリックし、[プログラム]-[MS-DOSプロンプト]をクリックします。 [スタート]ボタンをクリックし、[プログラム]-[アクセサリ]-[コマンド プロンプト]をクリックします。 FixBadtr.exe および Chktrust.exe ファイルが保存されているフォルダに移動し、次のコマンドを入力します。 chktrust -i FixBadtr.exe 例えば、C:\Downloads フォルダに保存している場合は、下記のようにコマンドを入力してください。     cd\     cd downloads     chktrust -i FixBadtr.exe     1行入力するごとにEnterキーを押してください。 デジタル認証が正当なものである場合、次のメッセージが表示されます。 "BadTrans Fix Tool"は01/11/30 3:53 に署名されて次から配布されています。インストールして実行しますか? Symantec Corporation 注意: このとき表示される日時はお客様がセットしているタイムゾーンによって変わります。上記はタイムゾーンを(GMT+9:00)東京、大阪、札幌に設定してある場合です。 夏時間を設定していた場合は1時間早い時刻が表示されます。 このメッセージ ダイアログが表示されない場合、そのFixBadtr.exeはシマンテックから配布されたものではないことになりますので、そのファイルは使用しないでください。 [はい]をクリックして、ダイアログボックスを閉じます。 exit と入力し、Enterキーを押します。これでMS-DOSプロンプトが終了します。 Windows Me/XPのシステムの復元オプション Windows Me/XPをお使いの場合は、駆除ツールを使用する前にシステムの復元オプションを一時的にオフにしてください。システムの復元機能は、Windows Me/XPの新機能の一つで、標準では有効に設定されています。この機能は、Windowsがコンピュータ上のファイルが破損した場合にそれらを自動的に復元するために使用されます。コンピュータがウイルス、ワーム、またはトロイの木馬に感染した場合、ウイルス、ワーム、またはトロイの木馬のバックアップファイルが_RESTOREフォルダ内に作成されている可能性があります。デフォルトでは、Windowsは、外部プログラムによるシステムの復元機能の改変を防止するように設定されています。この理由により、感染したファイルが誤って復元されたり、オンラインスキャンによってその場所の脅威が検出される可能性があります。システムの復元機能を無効にする方法についての詳細は、下記のドキュメントをご覧ください。 Windows Me のシステムの復元機能を有効/無効にする方法 Windows XP のシステムの復元機能を有効/無効にする方法 システムの復元機能についての詳細および別の無効化方法については、Microsoft Knowledge Base article :RESTORE フォルダにウィルスが発見された場合の対応方法について ID: Q263455をご覧ください。 駆除ツールをフロッピーディスクから実行するには Fixbadtr.exe の入っているフロッピーディスクをドライブに入れます。 [スタート] - [ファイル名を指定して実行]を選択します。 下記の通り入力して、OKをクリックします。 a:\fixbadtr.exe 注意: a:\fixbadtr.exeにはスペースを入れないでください。 Windows Meをお使いの方で、システムの復元機能を有効にしたままこのツールを実行すると警告メッセージが表示されます。その場合、システムの復元オプションを無効にして実行を続けるか、駆除ツールの実行を終了するかを選択してください。 Startボタンをクリックして実行します。 Windows Meをお使いの方は、この時点でシステムの復元機能を有効な状態に戻してください。