日本サイト更新日: 2003年5月14日 17:00 W32.HLLW.Lovgate 駆除ツール 発見日: 2003年2月24日 (米国時間) 最終更新日: 2003年5月13日 20:06 (米国時間) このツールが行うこと 現在、W32.HLLW.Lovgate@mm 駆除ツールのバージョン1.0.6をご提供しています。このツールは以下の脅威の既知の亜種をすべて駆除し、その副作用を排除します。 W32.HLLW.Lovgate@mm W32.HLLW.Lovgate.B@mm W32.HLLW.Lovgate.C@mm W32.HLLW.Lovgate.D@mm W32.HLLW.Lovgate.E@mm W32.HLLW.Lovgate.F@mm W32.HLLW.Lovgate.G@mm W32.HLLW.Lovgate.H@mm W32.HLLW.Lovgate.I@mm このツールは次のことを行います。 お使いのコンピュータがW32.HLLW.Lovgate@mmおよび上述の亜種に感染しているかどうかをチェックします ワームを構成するファイルをすべて探し出して削除します。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runレジストリキーから、次の値をすべて探し出して削除します。 syshelp WinGate initialize Module Call initialize 亜種によっては、上記レジストリキーに次のサブキーを作成するものがあります。駆除ツールはそれらのサブキーも削除します。 winhelp Remote Procedure Call Locator Program in Windows 次のレジストリキーを削除します。 HKEY_LOCAL_MACHINE\Software\KittyXP.sql\Install HKEY_LOCAL_MACHINE\Software\KittyXP.sql HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dll_reg HKEY_CLASSES_ROOT\txtfile\shell\open\command 注意: このワームは、ユーザ定義の値をすべて書き換えてしまうため、いったんこのワームに感染すると、以前これらのキーに設定されていた情報を復元することはできません。 次のレジストリキーを探し出し、 HKEY_LOCAL_MACHINE\Software\classes\txtfile\shell\open\command 次の値のデータを、 winrpc.exe %1 次の値に変更します。 notepad.exe %1 次のレジストリキーを探し出し、 HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows 次の値を削除します。 run RAVMOND.EXE 次のサービスを停止させ、削除します。 Window Remote Service Microsoft NetWork Services FireWall Windows Management Instrumentation Driver Extension NetMeeting Remote Desktop (RPC) Sharing Local Security Authority Service (lsass.exe)の下で動作しているワームのスレッドを探し出して終了させます。lsass.exeは、ワームがシステムに感染するときに使用する正規のWindowsプロセスです。 ワームがシステムにインストールしたファイルをすべて削除します。 このツールで利用可能なコマンドライン スイッチ スイッチ 説明 /HELP, /H, /? ヘルプメッセージを表示します。 /SILENT, /S サイレントモードをオンにします。 /LOG= で指定した場所にツールの出力内容を保管するためのログファイルを作成します。標準では、FixLGate.logというログファイルが駆除ツールと同じディレクトリに保存されます。 ツールの入手方法と使用方法 注意:Windows NT 4/2000/XP上でこのツールを実行する場合は、管理者権限でログオンしておく必要があります。 下記のサイトからFixLGate.com ファイルをダウンロードします。 http://securityresponse.symantec.com/avcenter/FixLGate.com. ファイルをダウンロードフォルダもしくはWindowsデスクトップなど都合のよい場所(できれば未感染のリムーバブル メディア)に保存します。 デジタル署名の信憑性をチェックするには、後述の「デジタル署名の確認方法」のセクションを参照してください。 ツールを実行する前に、すべてのプログラムを終了します。 FixLGate.comファイルをダブルクリックして実行します。 Start ボタンを押して、駆除を開始させます。 コンピュータを再起動します。 駆除ツールを再度実行し、システムがクリーンな状態になったか確認します。 LiveUpdateを実行し、ウイルス定義を最新版に更新します。 デジタル署名の確認方法 FixLGate.com はデジタル認証されています。シマンテックでは Security Response のダウンロードページから直接ダウンロードして入手したものだけを使用することを推奨します。デジタル認証の署名をチェックするには、以下の手順にしたがってください。 http://www.wmsoftware.com/free.htmをクリックします。 Chktrust.exeファイルをFixLGate.com と同じフォルダ(例:C:\Downloadsなど)にダウンロードします ご使用のWindowsのバージョンに応じて、次のいずれかの操作を実行します。    Windows 95/98/NTの場合: [スタート] ボタンをクリックし、[プログラム]-[MS-DOSプロンプト]を選択します。   Windows Me/XP/2000の場合:[スタート] ボタンをクリックし、[プログラム]-[アクセサリ]-[コマンド プロンプト]を選択します。 FixLGate.comとChktrust.exeが保存されているフォルダに移動し、次のコマンドを入力し、Enterキーを押します。 chktrust -i FixLGate.com 例えば、C:\Downloads フォルダに保存している場合は、下記のようにコマンドを入力してください( 1行入力するごとにEnterキーを押してください)。 cd\ cd downloads chktrust -i FixLGate.com デジタル認証が正当なものである場合、次のメッセージが表示されます。 "W32.HLLW.Lovgate Removal Tool"は、2003/05/14 11:00に署名されて次から配布されています。インストールして実行しますか? Symantec Coporation 注意: 日時はセットしているタイムゾーンによって変わります。上記はタイムゾーンを(GMT+9:00)東京、大阪、札幌に設定してある場合です。 夏時間を設定してある場合はさらに一時間早く表示されます。  このメッセージ ダイアログが表示されない場合、次の2通りの原因が考えられます。        そのツールがシマンテックから配布されたものではない。ツールがシマンテックのWebサイトからダウンロードした正規のツールだという確信がない限り、そのファイルは使用しないでください。    そのツールはシマンテックから配布された正規のツールであるけれども、お使いのOSがSymantec Corporationからの内容を常に信頼するように設定されていた場合。詳しくは、ドキュメントHow to restore the Publisher Authenticity confirmation dialog box(英語)をご覧ください。 [はい]をクリックして、ダイアログボックスを閉じます。 exit と入力し、Enterキーを押します。(これでMS-DOSプロンプトが終了します。) 駆除ツールをフロッピーディスクから実行するには FixLGate.com が入っているフロッピーディスクをフロッピードライブに挿入します。 [スタート] - [ファイル名を指定して実行]を選択します。 下記の通り入力して、OKをクリックします。 a:\FixLGate.com 注意:a:\FixLGate.comにはスペースを入れないでください。 Startボタンをクリックして駆除ツールを実行します。 Windows Meをお使いの方は、この時点でシステムの復元機能を有効な状態に戻してください。