home *** CD-ROM | disk | FTP | other *** search
/ DOS/V Power Report 2003 August / VPR0308.ISO / ANTI_VIR / FIXLGATE / W32_HLLW_Lovgate駆除ツール.txt < prev   
Text File  |  2003-06-06  |  6KB  |  188 lines
  1. 日本サイト更新日: 2003年5月14日 17:00
  2. W32.HLLW.Lovgate 駆除ツール 
  3. 発見日: 2003年2月24日 (米国時間)
  4. 最終更新日: 2003年5月13日 20:06 (米国時間)
  5.  
  6. このツールが行うこと
  7.  
  8. 現在、W32.HLLW.Lovgate@mm 駆除ツールのバージョン1.0.6をご提供しています。このツールは以下の脅威の既知の亜種をすべて駆除し、その副作用を排除します。
  9.  
  10. W32.HLLW.Lovgate@mm
  11. W32.HLLW.Lovgate.B@mm
  12. W32.HLLW.Lovgate.C@mm
  13. W32.HLLW.Lovgate.D@mm
  14. W32.HLLW.Lovgate.E@mm
  15. W32.HLLW.Lovgate.F@mm
  16. W32.HLLW.Lovgate.G@mm
  17. W32.HLLW.Lovgate.H@mm
  18. W32.HLLW.Lovgate.I@mm
  19.  
  20.  
  21.  
  22. このツールは次のことを行います。
  23.  
  24.  
  25.  
  26. お使いのコンピュータがW32.HLLW.Lovgate@mmおよび上述の亜種に感染しているかどうかをチェックします
  27.  
  28.  
  29. ワームを構成するファイルをすべて探し出して削除します。
  30.  
  31.  
  32. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runレジストリキーから、次の値をすべて探し出して削除します。
  33.  
  34. syshelp
  35. WinGate initialize
  36. Module Call initialize
  37.  
  38. 亜種によっては、上記レジストリキーに次のサブキーを作成するものがあります。駆除ツールはそれらのサブキーも削除します。
  39.  
  40. winhelp
  41. Remote Procedure Call Locator
  42. Program in Windows
  43.  
  44.  
  45. 次のレジストリキーを削除します。
  46.  
  47. HKEY_LOCAL_MACHINE\Software\KittyXP.sql\Install
  48. HKEY_LOCAL_MACHINE\Software\KittyXP.sql
  49. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dll_reg
  50. HKEY_CLASSES_ROOT\txtfile\shell\open\command
  51.  
  52. 注意: このワームは、ユーザ定義の値をすべて書き換えてしまうため、いったんこのワームに感染すると、以前これらのキーに設定されていた情報を復元することはできません。
  53.  
  54.  
  55. 次のレジストリキーを探し出し、
  56.  
  57. HKEY_LOCAL_MACHINE\Software\classes\txtfile\shell\open\command
  58.  
  59. 次の値のデータを、
  60.  
  61. winrpc.exe %1
  62.  
  63. 次の値に変更します。
  64.  
  65. notepad.exe %1
  66.  
  67.  
  68. 次のレジストリキーを探し出し、
  69.  
  70. HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
  71.  
  72. 次の値を削除します。
  73.  
  74. run RAVMOND.EXE
  75.  
  76.  
  77. 次のサービスを停止させ、削除します。
  78.  
  79. Window Remote Service
  80. Microsoft NetWork Services FireWall
  81. Windows Management Instrumentation Driver Extension
  82. NetMeeting Remote Desktop (RPC) Sharing
  83.  
  84.  
  85. Local Security Authority Service (lsass.exe)の下で動作しているワームのスレッドを探し出して終了させます。lsass.exeは、ワームがシステムに感染するときに使用する正規のWindowsプロセスです。
  86.  
  87.  
  88. ワームがシステムにインストールしたファイルをすべて削除します。
  89.  
  90.  
  91. このツールで利用可能なコマンドライン スイッチ
  92. スイッチ 説明 
  93. /HELP, /H, /?  ヘルプメッセージを表示します。 
  94. /SILENT, /S  サイレントモードをオンにします。 
  95. /LOG=<path name> <pathname>で指定した場所にツールの出力内容を保管するためのログファイルを作成します。標準では、FixLGate.logというログファイルが駆除ツールと同じディレクトリに保存されます。 
  96.  
  97.  
  98.  
  99. ツールの入手方法と使用方法
  100.  
  101. 注意:Windows NT 4/2000/XP上でこのツールを実行する場合は、管理者権限でログオンしておく必要があります。
  102.  
  103.  
  104.  
  105. 下記のサイトからFixLGate.com ファイルをダウンロードします。
  106. http://securityresponse.symantec.com/avcenter/FixLGate.com.
  107.  
  108. ファイルをダウンロードフォルダもしくはWindowsデスクトップなど都合のよい場所(できれば未感染のリムーバブル メディア)に保存します。
  109.  
  110. デジタル署名の信憑性をチェックするには、後述の「デジタル署名の確認方法」のセクションを参照してください。
  111.  
  112. ツールを実行する前に、すべてのプログラムを終了します。
  113.  
  114. FixLGate.comファイルをダブルクリックして実行します。
  115.  
  116. Start ボタンを押して、駆除を開始させます。
  117.  
  118. コンピュータを再起動します。
  119.  
  120. 駆除ツールを再度実行し、システムがクリーンな状態になったか確認します。
  121.  
  122. LiveUpdateを実行し、ウイルス定義を最新版に更新します。
  123.  
  124.  
  125. デジタル署名の確認方法
  126. FixLGate.com はデジタル認証されています。シマンテックでは Security Response のダウンロードページから直接ダウンロードして入手したものだけを使用することを推奨します。デジタル認証の署名をチェックするには、以下の手順にしたがってください。
  127.  
  128.  
  129.  
  130. http://www.wmsoftware.com/free.htmをクリックします。
  131.  
  132. Chktrust.exeファイルをFixLGate.com と同じフォルダ(例:C:\Downloadsなど)にダウンロードします
  133.  
  134. ご使用のWindowsのバージョンに応じて、次のいずれかの操作を実行します。
  135.    
  136. Windows 95/98/NTの場合: [スタート] ボタンをクリックし、[プログラム]-[MS-DOSプロンプト]を選択します。   
  137. Windows Me/XP/2000の場合:[スタート] ボタンをクリックし、[プログラム]-[アクセサリ]-[コマンド プロンプト]を選択します。 
  138. FixLGate.comとChktrust.exeが保存されているフォルダに移動し、次のコマンドを入力し、Enterキーを押します。
  139.  
  140. chktrust -i FixLGate.com
  141.  
  142. 例えば、C:\Downloads フォルダに保存している場合は、下記のようにコマンドを入力してください( 1行入力するごとにEnterキーを押してください)。
  143.  
  144. cd\
  145. cd downloads
  146. chktrust -i FixLGate.com
  147.  
  148. デジタル認証が正当なものである場合、次のメッセージが表示されます。
  149.  
  150. "W32.HLLW.Lovgate Removal Tool"は、2003/05/14 11:00に署名されて次から配布されています。インストールして実行しますか?
  151.  
  152. Symantec Coporation
  153.  
  154. 注意:
  155.  
  156. 日時はセットしているタイムゾーンによって変わります。上記はタイムゾーンを(GMT+9:00)東京、大阪、札幌に設定してある場合です。
  157.  
  158. 夏時間を設定してある場合はさらに一時間早く表示されます。  
  159. このメッセージ ダイアログが表示されない場合、次の2通りの原因が考えられます。   
  160.     
  161. そのツールがシマンテックから配布されたものではない。ツールがシマンテックのWebサイトからダウンロードした正規のツールだという確信がない限り、そのファイルは使用しないでください。    
  162. そのツールはシマンテックから配布された正規のツールであるけれども、お使いのOSがSymantec Corporationからの内容を常に信頼するように設定されていた場合。詳しくは、ドキュメントHow to restore the Publisher Authenticity confirmation dialog box(英語)をご覧ください。
  163.  
  164. [はい]をクリックして、ダイアログボックスを閉じます。
  165.  
  166. exit と入力し、Enterキーを押します。(これでMS-DOSプロンプトが終了します。)
  167.  
  168.  
  169. 駆除ツールをフロッピーディスクから実行するには
  170.  
  171.  
  172.  
  173. FixLGate.com が入っているフロッピーディスクをフロッピードライブに挿入します。
  174.  
  175. [スタート] - [ファイル名を指定して実行]を選択します。
  176.  
  177. 下記の通り入力して、OKをクリックします。
  178.  
  179. a:\FixLGate.com
  180.  
  181. 注意:a:\FixLGate.comにはスペースを入れないでください。
  182.  
  183.  
  184. Startボタンをクリックして駆除ツールを実行します。
  185.  
  186. Windows Meをお使いの方は、この時点でシステムの復元機能を有効な状態に戻してください。
  187.  
  188.