日本サイト更新日: 2003年8月21日 18:40 W32.Sobig.F@mm 駆除ツール 発見日: 2003年8月19日 (米国時間) 最終更新日: 2003年8月20日 14:49 (米国時間) Symantec Security Response はW32.Sobig.F@mm の感染を除去する駆除ツールを開発しました。 W32.Sobig.F@mm 駆除ツールは、次のことを行います。 W32.Sobig.F@mm の有害プロセスを停止させます。 W32.Sobig.F@mm ファイルを削除します。 投下されたファイルを削除します。 ワームが追加したレジストリキーを削除します。 このツールで利用可能なコマンドライン スイッチ スイッチ 説明 /HELP, /H, /? ヘルプメッセージを表示します。 /NOFIXREG レジストリの修復をオフにします(このスイッチの使用は推奨しません)。 /SILENT, /S サイレントモードをオンにします。 /LOG= で指定した場所にツールの出力内容を保管するためのログファイルを作成します。標準では、FixSbige.log というログファイルが駆除ツールと同じディレクトリに保存されます。 /MAPPED マッピングされているネットワークドライブをスキャンします(このスイッチの使用は推奨していません。)。 /START ツールによるスキャン操作をすぐに強制開始します。 /EXCLUDE= で指定した場所をスキャン対象から除外します(このスイッチの使用は推奨していません)。 注意:/MAPPED スイッチを使用した場合、次の理由により、リモートコンピュータ上のウイルスが完全に駆除されない可能性があります。 マッピングドライブのスキャンは、マッピングされているフォルダのみがスキャン対象となります。すなわち、リモートコンピュータの全フォルダがスキャンされるとは限らないため、検出漏れが発生するおそれがあります。 マッピングドライブ上でウイルスファイルを検出した場合でも、リモートのコンピュータ上でアプリケーションがそのファイルを使用していた場合、そのファイルを駆除することはできません。 このような理由により、(/MAPPEDスイッチを使用せずに) 駆除ツールを全コンピュータ上で個別に実行することを推奨します。 ツールの入手方法と使用方法 注意:Windows NT 4.0/2000/XP上でこのツールを実行する場合は、管理者権限でログオンしておく必要があります。 下記のサイトからFixSbigF.exe ファイルをダウンロードします。 http://securityresponse.symantec.com/avcenter/FixSbigF.exe ファイルをダウンロードフォルダもしくはWindowsデスクトップなど都合のよい場所(できれば未感染のリムーバブル メディア)に保存します。 デジタル署名の信憑性をチェックするには、後述の「デジタル署名の確認方法」のセクションを参照してください。 ツールを実行する前に、稼動中のプログラムを全て閉じます。 ネットワーク上、あるいはインターネットへの常時接続環境にある場合、コンピュータをネットワーク、そしてインターネットから切り離してください。 Windows Me/XPシステム上で作業している場合、システムの復元機能をオフにしてください。詳しくは、後述の「Windows Me/XPのシステムの復元オプション」をご覧ください。 注意:WindowsMe/XPを使用している場合にシステム復元機能を有効にしたまま駆除ツールを実行すると、Windowsによって外部のプログラムによるシステムの復元の改変操作が妨げられるため、駆除に失敗し、駆除ツールが行うワーム駆除操作がすべて失敗する可能性があります。 FixSbigF.exe ファイルをダブルクリックして実行します。 Start ボタンを押して、駆除を開始させます。 注意:駆除の開始後、"the tool was not able to remove one or more files, run the tool in Safe mode. (駆除ツールは、1つまたは1つ以上のファイルを除去することが出来ませんでした。セーフモードで駆除ツールを実行してください)"というメッセージが表示された場合、コンピュータをシャットダウンし、電源を切り、そして30秒間そのままにしておいてください。30秒後、コンピュータをセーフモードで立上げ、再度、駆除ツールを実行してください。Windows NT以外の全ての32ビットOSは、セーフモードで再起動させることができます。詳しくは、"Windows 9x または Windows Me をセーフモードで起動する方法"、"Windows XPをセーフモードで起動する方法"、"Windows 2000 をセーフモードで起動する方法"をご覧ください。 コンピュータを再起動します。 駆除ツールを再度実行し、システムがクリーンな状態になったか確認します。 Windows Me/XPをご使用の場合は、この時点でシステム復元機能をオンに戻します。 LiveUpdateを実行し、ウイルス定義を最新版に更新します。 駆除処理が終わると、お使いのコンピュータがW32.Sobig.F@mm に感染していたかどうかを示すメッセージが表示されます。ワームの駆除に成功した場合、次の結果が表示されます。 Total number of the scanned files. (スキャンされたファイル数) Number of deleted files. (削除されたファイル数) Number of terminated viral processes. (停止された有害プロセスの数) Number of fixed registry entries.(復元されたレジストリ項目) デジタル署名の確認方法 FixSbigF.exe はデジタル認証されています。シマンテックでは Security Response のダウンロードページから直接ダウンロードして入手したものだけを使用することを推奨します。デジタル認証の署名をチェックするには、以下の手順にしたがってください。 http://www.wmsoftware.com/free.htmをクリックします。 Chktrust.exeファイルをFixSbigF.exe と同じフォルダ(例:C:\Downloadsなど)にダウンロードします ご使用のWindowsのバージョンに応じて、次のいずれかの操作を実行します。 Windows 95/98/NTの場合: [スタート] ボタンをクリックし、[プログラム]-[MS-DOSプロンプト]を選択します。   Windows Me/XP/2000の場合:[スタート] ボタンをクリックし、[プログラム]-[アクセサリ]-[コマンド プロンプト]を選択します。 FixSbigF.exeと Chktrust.exeが保存されているフォルダに移動し、次のコマンドを入力し、Enterキーを押します。 chktrust -i FixSbigF.exe 例えば、C:\Downloads フォルダに保存している場合は、下記のようにコマンドを入力してください(1行入力するごとにEnterキーを押してください)。 cd\ cd downloads chktrust -i FixSbigF.exe デジタル認証が正当なものである場合、次のメッセージが表示されます。 "W32.Sobig.F@mm Removal Tool"は2003/08/20 1:37に署名されて次から配布されています。インストールして実行しますか? Symantec Corporation 注意: 日時はセットしているタイムゾーンによって変わります。上記はタイムゾーンを(GMT+9:00)東京、大阪、札幌に設定してある場合です。 夏時間を設定してある場合はさらに一時間早く表示されます。 このメッセージ ダイアログが表示されない場合、次の2通りの原因が考えられます。 そのツールがシマンテックから配布されたものではない。ツールがシマンテックのWebサイトからダウンロードした正規のツールだという確信がない限り、そのファイルは使用しないでください。 そのツールはシマンテックから配布された正規のツールであるけれども、お使いのOSがSymantec Corporationからの内容を常に信頼するように設定されていた場合。詳しくは、ドキュメント"Chktrust.exe で発行者の認証ダイアログが表示されるように設定する方法"をご覧ください。 [はい]をクリックして、ダイアログボックスを閉じます。 exit と入力し、Enterキーを押します。(これでMS-DOSプロンプトが終了します。) システムの復元オプションを無効にする (Windows Me/XP) Windows Me/XPをお使いの場合は、駆除作業を行う前にシステムの復元オプションを一時的にオフにしてください。システムの復元機能は、Windows Me/XPの機能の一つで、標準では有効に設定されています。この機能は、Windowsがコンピュータ上のファイルが破損した場合にそれらを自動的に復元するために使用されます。コンピュータがウイルス、ワーム、またはトロイの木馬に感染した場合、ウイルス、ワーム、またはトロイの木馬のバックアップファイルが_RESTOREフォルダ内に作成されている可能性があります。 Windowsは、ウイルス対策プログラムのような外部プログラムによるシステムの復元機能の改変を防止するように設定されています。この理由により、ウイルス対策プログラムおよび駆除ツールでは_RESTOREフォルダ内に保存されている感染ファイルを削除することはできません。その結果、他のあらゆる場所から感染ファイルを削除した後でも、感染したファイルが誤って復元される可能性があります。 また、ウイルス対策プログラムでコンピュータをスキャンしたときに感染ファイルが検出されなかった場合でも、オンラインスキャンの実行時にRestoreフォルダ内の脅威が検出されることがあります。 システムの復元機能を無効にする方法については、Windowsのマニュアルか、あるいは下記のドキュメントをご覧ください。 Windows Me のシステムの復元機能を有効/無効にする方法 Windows XP のシステムの復元機能を有効/無効にする方法 システムの復元機能についての詳細および別の無効化方法については、Microsoft Knowledge Base article :_RESTORE フォルダにウィルスが発見された場合の対応方法について ID: Q263455をご覧ください。 駆除ツールをフロッピーディスクから実行するには FixSbigF.exe が入っているフロッピーディスクをフロッピードライブに挿入します。 [スタート] - [ファイル名を指定して実行]を選択します。 下記の通り入力して、OKをクリックします。 a:\FixSbigF.exe 注意: a:\FixSbigF.exeにはスペースを入れないでください。 Windows Meをお使いの方で、システムの復元機能を有効にしたままこのツールを実行すると警告メッセージが表示されます。その場合、システムの復元オプションを無効にして実行を続けるか、駆除ツールの実行を終了するかを選択してください。 Startボタンをクリックして駆除ツールを実行します。 Windows Meをお使いの方は、この時点でシステムの復元機能を有効な状態に戻してください。