home *** CD-ROM | disk | FTP | other *** search
/ DOS/V Power Report 2003 January / VPR0301A.ISO / ANTI_VIR / FIXBUGBEAR / W32_Bugbear駆除ツール.txt < prev   
Text File  |  2002-10-29  |  10KB  |  194 lines
  1. W32.Bugbear@mm駆除ツール 
  2. 発見日: 2002年10月1日 (米国時間)
  3. 最終更新日: 2002年10月14日 18:32 (米国時間)
  4.  
  5. 重要-最初にお読みください-
  6.  
  7.  
  8. ネットワークに接続して作業している場合、あるいは、DSLやケーブルモデム等を使ってインターネットに常時接続している場合、コンピュータをネットワークまたはインターネットとの接続をいったん切り、有効になっていたファイル共有を無効にするか、あるいはパスワードを設定してください。このワームはネットワーク接続しているコンピュータ上で共有されているフォルダを使って感染します。したがって、ワームの再感染を防ぐためには、ワームの駆除が終わった後で、共有フォルダへのアクセスは読み取り専用のみに限定するか、あるいはパスワードを設定しておくことをお勧めします。具体的な設定手順については、WindowsのマニュアルあるいはドキュメントHow to configure shared Windows folders for maximum network protection(英語)をご覧ください。
  9.  
  10.  
  11. ネットワーク上の感染ファイルを駆除する場合は、駆除作業を始める前に必ず、すべての共有を無効にするか、あるいは読み取り専用に設定してください。
  12.  
  13.  
  14. このツールはNovel NetWareサーバー上では動作しません。NetWareサーバーからこの脅威を駆除するには、最初にウイルス定義を最新版に更新した後、お使いのシマンテック製ウイルス対策プログラムを使ってシステム全体のスキャンを実行してください。
  15.  
  16. このツールが行なうこと
  17.  
  18. W32.Bugbear@mm駆除ツールは次のことを行います。
  19.  
  20.  
  21. W32.Bugbear@mm の有害なプロセスをすべて停止させます。
  22.  
  23. 有害なW32.Bugbear@mm ファイルと、ワームが投下するトロイの木馬(シマンテックのアンチウイルス製品ではPWS.Hookder.Trojanとして検出されます)を削除します。
  24.  
  25. ワームがレジストリに追加した項目を削除します。
  26.  
  27. 注意: このツールは次のレジストリキーからすべての値を削除します。
  28. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
  29.  
  30. 通常、オペレーティングシステムは、プロセス起動後すぐにこのレジストリキーに登録されているすべての値を削除します。この操作は自動的に行われます。しかし、このワームは駆除ツールが削除する値を再び作成します。
  31. この理由により、全ての作業を完了し、必要に応じてコンピュータの再起動を行った後で、このツールを実行してください。
  32.  
  33.  
  34.  
  35. このツールで利用可能なコマンドライン スイッチ
  36.  
  37.  
  38.  
  39. スイッチ  説明  
  40. /HELP, /H, /? ヘルプメッセージを表示します。 
  41. /NOFIXREG レジストリの修復をオフにします(このスイッチの使用は推奨しません)。 
  42. /SILENT, /S サイレントモードをオンにします。 
  43. /LOG=<path name> <pathname>で指定した場所にツールの出力内容を保管するためのログファイルを作成します。標準では、Fxbgbear.logというログファイルが駆除ツールと同じディレクトリに保存されます。 
  44. /MAPPED マッピングされているネットワークドライブをスキャンします(このスイッチの使用は推奨していません。詳しくは後述の注意をご覧ください)。 
  45. /START ツールによるスキャン操作をすぐに強制開始します。 
  46. /EXCLUDE=<path> <path>で指定した場所をスキャン対象から除外します(このスイッチの使用は推奨していません)。 
  47.  
  48. 注意:/MAPPED スイッチを使用した場合、次の理由により、リモートコンピュータ上のウイルスが完全に駆除されない可能性があります。
  49.  
  50. マッピングドライブのスキャンは、マッピングされているフォルダのみがスキャン対象となります。すなわち、リモートコンピュータの全フォルダがスキャンされるとは限らないため、検出漏れが発生するおそれがあります。
  51.  
  52. マッピングドライブ上でウイルスファイルを検出した場合でも、リモートのコンピュータ上でアプリケーションがそのファイルを使用していた場合、そのファイルを駆除することはできません。
  53.  
  54.  
  55. このような理由により、(/MAPPEDスイッチを使用せずに) 駆除ツールを全コンピュータ上で個別に実行することを推奨します。
  56.  
  57. ツールの入手方法と使用方法:
  58.  
  59.  
  60. 注意:
  61.  
  62. Windows NT4/2000/XPでこのツールを実行する場合は、管理者権限でログオンしておく必要があります。
  63.  
  64. Windows 95/98/Meコンピュータの場合、駆除ツールをセーフモードで実行する必要があったという報告が幾つか寄せられています。このツールの実行に問題がある場合は、手順1と手順2にしたがってツールをダウンロードした後、コンピュータをセーフモードで再起動してください。Windows NTを除くすべてのWindows 32ビットOSはセーフモードで再起動することが可能です。具体的な手順については、"Windows 9x または Windows Me をセーフモードで起動する方法"をご覧ください。
  65.  
  66. 作業対象のコンピュータをDSLあるいはケーブル回線でネットワーク接続している場合は、手順5にしたがって、ネットワークとの接続を切ってください。 
  67. 下記のサイトからFxBgbear.exe ファイルをダウンロードします。
  68.  
  69. http://securityresponse.symantec.com/avcenter/FxBgbear.exe
  70.  
  71.  
  72. ファイルをダウンロードフォルダもしくはWindowsデスクトップなど都合のよい場所(できれば未感染のリムーバブル メディア)に保存します。
  73.  
  74. デジタル署名の信憑性をチェックするには、後述の「デジタル署名の確認方法」のセクションを参照してください。
  75.  
  76. ツールを実行する前に、すべてのプログラムを終了します。
  77.  
  78. ネットワークに接続して作業している場合、あるいは、インターネットに常時接続している場合、ネットワークまたはインターネットとの接続をいったん切ります。
  79.  
  80. Windows Me/XPシステム上で作業している場合、システムの復元機能をオフにしてください。詳しくは、後述の「Windows Me/XPのシステムの復元オプション」をご覧ください。
  81.  
  82. 注意: Windows Me/XP上で作業している場合は、このステップは絶対に省略しないでください。
  83.  
  84.  
  85. FxBgbear.exe ファイルをダブルクリックして実行します。
  86.  
  87. Start ボタンを押して、駆除を開始させます。
  88.  
  89. コンピュータを再起動します。
  90.  
  91. 駆除ツールを再度実行し、システムがクリーンな状態になったか確認します。
  92.  
  93. Windows Me/XPをご使用の場合は、この時点でシステム復元機能をオン状態にします。
  94.  
  95. LiveUpdateを実行し、ウイルス定義を最新版に更新します。
  96.  
  97. 注意:WindowsMe/XPを使用している場合にシステム復元機能を有効にしたまま駆除ツールを実行すると、Windowsによって外部のプログラムによるシステムの復元の改変操作が妨げられるため、駆除に失敗し、駆除ツールが行うワーム駆除操作がすべて失敗する可能性があります。
  98.  
  99.  
  100. 駆除処理が終わると、お使いのコンピュータがW32.Bugbear@mm に感染していたかどうかを示すメッセージが表示されます。ワームの駆除に成功した場合、次の結果が表示されます。
  101.  
  102.  
  103. The total number of the scanned files..(スキャンされたファイル数)
  104.  
  105. The number of deleted files. (削除されたファイル数)
  106.  
  107. The number of viral processes terminated.(停止された有害プロセスの数)
  108.  
  109. The number of viral registry entries deleted.(削除されたレジストリ項目)
  110.  
  111.  
  112. デジタル署名の確認方法
  113. FxBgbear.exe はデジタル認証されています。シマンテックでは Security Response のダウンロードページから直接ダウンロードして入手したものだけを使用することを推奨します。デジタル認証の署名をチェックするには、以下の手順にしたがってください。
  114.  
  115.  
  116. http://www.wmsoftware.com/free.htmをクリックします。
  117.  
  118. Chktrust.exeファイルをFxBgbear.exe と同じフォルダ(例:C:\Downloadsなど)にダウンロードします
  119.  
  120. ご使用のWindowsのバージョンに応じて、次のいずれかの操作を実行します。
  121.  
  122. Windows 95/98/NTの場合: [スタート] ボタンをクリックし、[プログラム]-[MS-DOSプロンプト]を選択します。
  123.  
  124. Windows Me/XP/2000の場合:[スタート] ボタンをクリックし、[プログラム]-[アクセサリ]-[コマンド プロンプト]を選択します。
  125.  
  126. FxBgbear.exe と Chktrust.exe が保存されているフォルダに移動し、次のコマンドを入力し、Enterキーを押します。
  127.  
  128. chktrust -i FxBgbear.exe
  129.  
  130. 例えば、C:\Downloads フォルダに保存している場合は、下記のようにコマンドを入力してください。( 1行入力するごとにEnterキーを押してください)
  131.  
  132. cd\
  133. cd downloads
  134. chktrust -i FxBgbear.exe
  135.  
  136.  
  137. デジタル認証が正当なものである場合、次のメッセージが表示されます。
  138.  
  139. "W32.Bugbear@mm Fix Tool" は02/10/02 5:10 に署名されて次から配布されています。インストールして実行しますか:
  140. Symantec Corporation
  141.  
  142.  
  143. 注意:
  144.  
  145.  
  146. 日時はセットしているタイムゾーンによって変わります。上記はタイムゾーンを(GMT+9:00)東京、大阪、札幌に設定してある場合です。
  147.  
  148. 夏時間を設定してある場合はさらに一時間早く表示されます。
  149.  
  150. このメッセージ ダイアログが表示されない場合、次の2通りの原因が考えられます。
  151.  
  152. そのツールがシマンテックから配布されたものではない。ツールがシマンテックのWebサイトからダウンロードした正規のツールだという確信がない限り、そのファイルは使用しないでください。
  153.  
  154. そのツールはシマンテックから配布された正規のツールであるけれども、お使いのOSがSymantec Corporationからの内容を常に信頼するように設定されていた場合。詳しくは、ドキュメントHow to restore the Publisher Authenticity confirmation dialog box(英語)をご覧ください。
  155.  
  156. [はい]をクリックして、ダイアログボックスを閉じます。
  157.  
  158. exit と入力し、Enterキーを押します。これでMS-DOSプロンプトが終了します。
  159.  
  160.  
  161. Windows Me/XPのシステムの復元オプション
  162.  
  163. Windows Me/XPをお使いの場合は、駆除ツールを使用する前にシステムの復元オプションを一時的にオフにしてください。システムの復元機能は、Windows Me/XPの新機能の一つで、標準では有効に設定されています。この機能は、Windowsがコンピュータ上のファイルが破損した場合にそれらを自動的に復元するために使用されます。コンピュータがウイルス、ワーム、またはトロイの木馬に感染した場合、ウイルス、ワーム、またはトロイの木馬のバックアップファイルが_RESTOREフォルダ内に作成されている可能性があります。デフォルトでは、Windowsは、外部プログラムによるシステムの復元機能の改変を防止するように設定されています。この理由により、感染したファイルが誤って復元されたり、オンラインスキャンによってその場所の脅威が検出される可能性があります。システムの復元機能を無効にする方法についての詳細は、下記のドキュメントをご覧ください。
  164.  
  165.  
  166. Windows Me のシステムの復元機能を有効/無効にする方法
  167.  
  168. Windows XP のシステムの復元機能を有効/無効にする方法
  169.  
  170. システムの復元機能についての詳細および別の無効化方法については、Microsoft Knowledge Base article :_RESTORE フォルダにウィルスが発見された場合の対応方法について ID: Q263455をご覧ください。
  171.  
  172.  
  173. 駆除ツールをフロッピーディスクから実行するには
  174.  
  175.  
  176. FxBgbear.exe が入っているフロッピーディスクをフロッピードライブに挿入します。
  177.  
  178. [スタート] - [ファイル名を指定して実行]を選択します。
  179.  
  180. 下記の通り入力して、OKをクリックします。
  181.  
  182. a:\fxbgbear.exe
  183.  
  184. 注意:
  185.  
  186. a:\fxbgbear.exeにはスペースを入れないでください。
  187.  
  188. Windows Meをお使いの方で、システムの復元機能を有効にしたままこのツールを実行すると警告メッセージが表示されます。その場合、システムの復元オプションを無効にして実行を続けるか、駆除ツールの実行を終了するかを選択してください。
  189.  
  190. Startボタンをクリックして駆除ツールを実行します。
  191.  
  192. Windows Meをお使いの方は、この時点でシステムの復元機能を有効な状態に戻してください。
  193.  
  194.