W32.Gibe@mm駆除ツール 最終更新日: 2002年4月2日 09:29 (米国時間) このツールが行なうこと W32.Gibe@mm 駆除ツールは次のことを行ないます。 W32.Gibe@mm のプロセスをすべて停止させます。 W32.Gibe@mm の実行ファイルをすべて削除します。 このツールで利用可能なコマンドライン スイッチ /SILENT, /S - サイレントモードをオンにします。 /LOG= - で指定した場所にツールの出力内容を保管するためのログファイルを作成します。 /START - ツールによるスキャン操作をすぐに強制開始します。 ツールの入手方法と使用方法: 注意:コンピュータがW32.Gibe@mmの攻撃を受けてしまった場合、そのシステムのセキュリティが低下している可能性があります。そのため、リモートアクセス、ダイアルアップ接続、リモート共有に設定していたパスワードなど、感染したコンピュータ上で使っていたパスワードをすべて変更する必要があります。 注意:Windows NT 4.0/2000/XP上でこのツールを実行する場合は、管理者権限でログオンしておく必要があります。 下記のサイトからFixGibe.exe ファイルをダウンロードします。 http://securityresponse.symantec.com/avcenter/FixGibe.exe ファイルをダウンロードフォルダもしくはWindowsデスクトップなど都合のよい場所(あるいは未感染のリムーバブル メディア)に保存します デジタル署名の信憑性をチェックするには、後述の「デジタル認証の確認方法」のセクションを参照してください。 ツールを実行する前に、すべてのプログラムを終了します。 ネットワークに接続して作業している場合、あるいは、インターネットに常時接続している場合、コンピュータをネットワークまたはインターネットとの接続をいったん切ります。 Windows Me/XPシステム上で作業している場合、システムの復元機能をオフにしてください。詳しくは、後述の「Windows Me/XPのシステムの復元オプション」をご覧ください。 備考:Windows Me/XPをご使用の方は、この手順は絶対に省略しないよう強くお勧めします。 FixGibe.exe ファイルをダブルクリックして実行します。 Start ボタンを押して、駆除を開始させます。 コンピュータを再起動します。 注意:このワームによって作成されるレジストリ値は、コンピュータが再起動されるまで削除されません。 駆除ツールを再度実行して、システムがクリーンな状態になったか確認します。 Windows Me/XPをご使用の場合は、この時点でシステム復元機能をオン状態にします。 LiveUpdateを実行し、ウイルス定義を最新版に更新します。 注意:WindowsMe/XPを使用している場合にシステム復元機能を有効にしたまま駆除ツールを実行すると(手順6参照)、Windowsによって外部のプログラムによるシステムの復元の改変操作が妨げられるため、駆除に失敗する可能性があります。そのため、駆除ツールが行うワーム駆除操作がすべて失敗する可能性があります。 駆除処理が終わると、お使いのコンピュータがW32.Gibe@mmワームに感染していたかどうかを示すメッセージが表示されます。ワームの駆除に成功した場合、次の結果が表示されます。 The number of the scanned files. (スキャンされたファイル数) The number of deleted files.(削除されたファイル数) The number of terminated viral processes.(終了されたワームのプロセス) デジタル認証の確認方法 FixGibe.exe はデジタル認証されています。シマンテックでは Security Response のダウンロードページから直接ダウンロードして入手したものだけを使用することを推奨します。デジタル認証の署名をチェックするには、以下の手順にしたがってください。 http://www.wmsoftware.com/free.htmをクリックします。 Chktrust.exeファイルをFixGibe.exeと同じフォルダ(例:C:\Downloadsなど)にダウンロードします。 ご使用のWindowsのバージョンに応じて、次のいずれかの操作を実行します。 Windows 95/98/NTの場合: [スタート] ボタンをクリックし、[プログラム]-[MS-DOSプロンプト]を選択してMS-DOSプロンプトを起動します。 Windows Me/XP/2000の場合:[スタート] ボタンをクリックし、[プログラム]-[アクセサリ]-[コマンド プロンプト]を選択します。 FixGibe.exeと Chktrust.exe が保存されているフォルダに移動し、次のコマンドを入力し、Enterキーを押します。 chktrust -i fixgibe.exe 例えば、C:\Downloads フォルダに保存している場合は、下記のようにコマンドを入力してください。( 1行入力するごとにEnterキーを押してください) cd\ cd downloads chktrust -i fixgibe.exe デジタル認証が正当なものである場合、次のメッセージが表示されます。 "FixGibe.exe"は 2002/04/02 9:34 に署名されて次から配布されています。インストールして実行しますか? Symantec Corporation 注意: このとき表示される日時はお客様がセットしているタイムゾーンによって変わります。上記はタイムゾーンを(GMT+9:00)東京、大阪、札幌に設定してある場合です。 夏時間を設定していた場合は1時間早い時刻が表示されます。 このメッセージ ダイアログが表示されない場合、そのFixGibe.exeはシマンテックから配布されたものではないことになりますので、そのファイルは使用しないでください。 [はい]をクリックして、ダイアログボックスを閉じます。 exit と入力し、Enterキーを押します。これでMS-DOSプロンプトが終了します。 Windows Me/XPのシステムの復元オプション Windows Me/XPをお使いの場合は、駆除ツールを使用する前にシステムの復元オプションを一時的にオフにしてください。システムの復元機能は、Windows Me/XPの新機能の一つで、標準では有効に設定されています。この機能は、Windowsがコンピュータ上のファイルが破損した場合にそれらを自動的に復元するために使用されます。コンピュータがウイルス、ワーム、またはトロイの木馬に感染した場合、ウイルス、ワーム、またはトロイの木馬のバックアップファイルが_RESTOREフォルダ内に作成されている可能性があります。デフォルトでは、Windowsは、外部プログラムによるシステムの復元機能の改変を防止するように設定されています。この理由により、感染したファイルが誤って復元されたり、オンラインスキャンによってその場所の脅威が検出される可能性があります。システムの復元機能を無効にする方法についての詳細は、下記のドキュメントをご覧ください。 Windows Me のシステムの復元機能を有効/無効にする方法 Windows XP のシステムの復元機能を有効/無効にする方法 システムの復元機能についての詳細および別の無効化方法については、Microsoft Knowledge Base article :_RESTORE フォルダにウィルスが発見された場合の対応方法について ID: Q263455をご覧ください。 駆除ツールをフロッピーディスクから実行するには FixGibe.exe の入っているフロッピーディスクをドライブに入れます。 [スタート] - [ファイル名]を指定して実行 を選択します。 下記の通り入力して、OKをクリックします。 a:\fixgibe.exe 注意: a:\fixgibe.exeにはスペースを入れないでください。 Windows Me/XPをお使いの方で、システムの復元機能を有効にしたままこのツールを実行すると警告メッセージが表示されます。その場合、システムの復元オプションを無効にして実行を続けるか、駆除ツールの実行を終了するかを選択してください。 Startボタンをクリックして実行します。 Windows Me/XPをお使いの方は、この時点でシステムの復元機能を有効な状態に戻してください。