日本サイト更新日: 2003年6月5日 18:00 Bat.Mumu.A.Worm駆除ツール 日本サイト更新日: 2003年5月20日 13:45 W32.Sobig.B 駆除ツール 発見日: 2003年5月18日 (米国時間) 最終更新日: 2003年5月19日 13:04 (米国時間) Symantec Security Response はW32.Sobig.B@mm(旧称 W32.HLLW.Mankx@mm)の感染を除去する駆除ツールを開発しました。 このツールが行うこと W32.Sobig.B@mm 駆除ツールは次のことを行います。 W32.Sobig.B@mmの有害プロセスを停止させます。 W32.Sobig.B@mm のファイルを削除します。 投下されたファイルを削除します。 ワームによって追加されたレジストリ値を削除します。 このツールで利用可能なコマンドライン スイッチ スイッチ 説明 /HELP, /H, /? ヘルプメッセージを表示します。 /NOFIXREG レジストリの修復をオフにします(このスイッチの使用は推奨しません)。 /SILENT, /S サイレントモードをオンにします。 /LOG= で指定した場所にツールの出力内容を保管するためのログファイルを作成します。標準では、FixMank.logというログファイルが駆除ツールと同じフォルダに保存されます。 /MAPPED マッピングされているネットワークドライブをスキャンします(このスイッチの使用は推奨していません。詳しくは後述の注意をご覧ください)。 /START ツールによるスキャン操作をすぐに強制開始します。 /EXCLUDE= で指定した場所をスキャン対象から除外します(このスイッチの使用は推奨していません)。 注意:/MAPPED スイッチを使用した場合、次の理由により、リモートコンピュータ上のウイルスが完全に駆除されない可能性があります。 マッピングドライブのスキャンは、マッピングされているフォルダのみがスキャン対象となります。すなわち、リモートコンピュータの全フォルダがスキャンされるとは限らないため、検出漏れが発生するおそれがあります。 マッピングドライブ上でウイルスファイルを検出した場合でも、リモートのコンピュータ上でアプリケーションがそのファイルを使用していた場合、そのファイルを駆除することはできません。 このような理由により、(/MAPPEDスイッチを使用するのではなく) 駆除ツールを全コンピュータ上で個別に実行することを推奨します。 ツールの入手方法と使用方法: 注意:Windows NT4.0/2000/XP上でこのツールを実行する場合は必ず管理者権限でログオンしておく必要があります。 下記のサイトからFxSobigb.exeファイルをダウンロードします。 http://securityresponse.symantec.com/avcenter/FxSobigb.exe ファイルをダウンロードフォルダもしくはWindowsデスクトップなど都合のよい場所(できれば未感染のリムーバブル メディア)に保存します。 デジタル署名の信憑性をチェックするには、後述の「デジタル署名の確認方法」のセクションを参照してください。 ツールを実行する前に、すべてのプログラムを終了します。 ネットワークに接続して作業している場合、あるいは、インターネットに常時接続している場合、ネットワークまたはインターネットとの接続をいったん切ります。 Windows Me/XPシステム上で作業している場合、システムの復元機能をオフにしてください。詳しくは、後述の「Windows Me/XPのシステムの復元オプション」をご覧ください。 注意: Windows Me/XP上で作業している場合は、このステップは絶対に省略しないでください。WindowsMe/XPを使用している場合にシステム復元機能を有効にしたまま駆除ツールを実行すると、Windowsによって外部のプログラムによるシステムの復元の改変操作が妨げられるため、駆除に失敗し、駆除ツールが行うワーム駆除操作がすべて失敗する可能性があります。 FxSobigb.exe ファイルをダブルクリックしてツールを起動します。 Startボタンをクリックして、駆除を開始させます。 注意: 駆除ツールを実行したときに1つまたは複数のファイルを駆除できなかったというエラーメッセージが表示される場合には、ツールをセーフモードで実行する必要があります。その場合、コンピュータをシャットダウンし、電源を切り、30秒間待った後、コンピュータをセーフモードで再起動し、ツールを再度実行してみてください。Windows NT以外のすべてのWindows 32ビット OSはセーフモードで再起動することができます。具体的な手順については、次のうち、ご使用のOSに該当するドキュメントをご覧ください。  ・Windows XPをセーフモードで起動する方法  ・Windows 2000 をセーフモードで起動する方法  ・Windows 9x または Windows Me をセーフモードで起動する方法 コンピュータを再起動します。 駆除ツールを再度実行し、システムがクリーンな状態になったか確認します。 Windows Me/XPをご使用の場合は、この時点でシステム復元機能をオンに戻します。 LiveUpdateを実行し、ウイルス定義を最新版に更新します。 駆除処理が終わると、お使いのコンピュータがW32.Sobig.B@mmに感染していたかどうかを示すメッセージが表示されます。ワームの駆除に成功した場合、次の結果が表示されます。 Total number of the scanned files. (スキャンされたファイル数) Number of deleted files. (削除されたファイル数) Number of terminated viral processes. (停止された有害プロセスの数) Number of fixed registry entries.(復元されたレジストリ項目) デジタル署名の確認方法 FxSobigb.exe はデジタル認証されています。シマンテックでは Security Response のダウンロードページから直接ダウンロードして入手したものだけを使用することを推奨します。デジタル認証の署名をチェックするには、以下の手順にしたがってください。 http://www.wmsoftware.com/free.htmをクリックします。 chktrust.exeファイルをFxSobigb.exeと同じフォルダ(例:C:\Downloadsなど)にダウンロードします。 ご使用のWindowsのバージョンに応じて、次のいずれかの操作を実行します。   ・Windows 95/98/NTの場合: [スタート] ボタンをクリックし、[プログラム]-[MS-DOSプロンプト]を選択します。   ・Windows Me/XP/2000の場合:[スタート] ボタンをクリックし、[プログラム]-[アクセサリ]-[コマンド プロンプト]を選択します。 FxSobigb.exeとChktrust.exeが保存されているフォルダに移動し、次のコマンドを入力し、Enterキーを押します。 chktrust -i FxSobigb.exe 例えば、C:\Downloads フォルダに保存している場合は、下記のようにコマンドを入力してください。 cd\ cd downloads chktrust -i FxSobigb.exe 1行入力するごとにEnterキーを押してください。デジタル認証が正当なものである場合、次のメッセージが表示されます。 "W32.Sobig.B@mm Removal Tool" は5/20/2003 2:19 に署名されて次から配布されています。インストールして実行しますか? Symantec Corporation? 注意: 日時はセットしているタイムゾーンによって変わります。上記はタイムゾーンを(GMT+9:00)東京、大阪、札幌に設定してある場合です。 夏時間を設定してある場合はさらに一時間早く表示されます。 このメッセージ ダイアログが表示されない場合、次の2通りの原因が考えられます。 そのツールがシマンテックから配布されたものではない。ツールがシマンテックのWebサイトからダウンロードした正規のツールだという確信がない限り、そのファイルは使用しないでください。 そのツールはシマンテックから配布された正規のツールであるけれども、お使いのOSがSymantec Corporationからの内容を常に信頼するように設定されていた場合。詳しくは、ドキュメントHow to restore the Publisher Authenticity confirmation dialog box(英語)をご覧ください。 [はい]をクリックして、ダイアログボックスを閉じます。 exitと入力し、Enterキーを押します。これでMS-DOSプロンプトが終了します。 Windows Me/XPのシステムの復元オプション Windows Me/XPをお使いの場合は、駆除ツールを使用する前にシステムの復元オプションを一時的にオフにしてください。システムの復元機能は、Windows Me/XPの新機能の一つで、標準では有効に設定されています。この機能は、Windowsがコンピュータ上のファイルが破損した場合にそれらを自動的に復元するために使用されます。コンピュータがウイルス、ワーム、またはトロイの木馬に感染した場合、ウイルス、ワーム、またはトロイの木馬のバックアップファイルが_RESTOREフォルダ内に作成されている可能性があります。 Windowsは、ウイルス対策プログラムのような外部プログラムによるシステムの復元機能の改変を防止するように設定されています。この理由により、ウイルス対策プログラムおよび駆除ツールでは_RESTOREフォルダ内に保存されている感染ファイルを削除することはできません。その結果、他のあらゆる場所から感染ファイルを削除した後でも、感染したファイルが誤って復元される可能性があります。 また、ウイルス対策プログラムでコンピュータをスキャンしたときに感染ファイルが検出されなかった場合でも、オンラインスキャンの実行時にRestoreフォルダ内の脅威が検出されることがあります。 システムの復元機能を無効にする方法についての詳細は、Windowsのマニュアルまたは下記のドキュメントをご覧ください。 Windows Me のシステムの復元機能を有効/無効にする方法 Windows XP のシステムの復元機能を有効/無効にする方法 システムの復元機能についての詳細および別の無効化方法については、Microsoft Knowledge Base article :_RESTORE フォルダにウィルスが発見された場合の対応方法について ID: Q263455をご覧ください。 駆除ツールをフロッピーディスクから実行するには FxSobigb.exeが入っているフロッピーディスクをフロッピードライブに挿入します。 [スタート] - [ファイル名を指定して実行]を選択します。 次のコマンドを入力し、 a:\FxSobigb.exe その後、OKをクリックします。 注意: a:\FixMank.exeにはスペースを入れないでください。 Windows Me/XPをお使いの方で、システムの復元機能を有効にしたままこのツールを実行すると警告メッセージが表示されます。その場合、システムの復元オプションを無効にして実行を続けるか、駆除ツールの実行を終了するかを選択してください。 Startボタンをクリックして駆除ツールを実行します。 Windows Meをお使いの方は、この時点でシステムの復元機能を有効な状態に戻してください。