W32.Bobax@mm Removal Tool

このツールは、次の脅威の感染を駆除するように設計されています。

• W32.Bobax.AH@mm
• W32.Bobax.Z@mm
  

重要:

• この駆除ツールはセーフモードで実行する必要があります。手順については、下記のステップ 7 をご覧ください。
• ネットワーク上にある場合や DSL やケーブルモデムなどのインターネットへの常時接続を行っている場合は、ネットワークとインターネットからコンピュータの接続を切断してください。コンピュータをネットワークやインターネットへ再接続する前に、ファイル共有を無効にするかパスワードでプロテクトするか、または共有ファイルを読み取り専用に設定してください。このワームはネットワーク化されたコンピューター上の共有フォルダを使って拡散するため、駆除後にコンピューターにこのワームが再度感染しないようにするために、シマンテックでは、共有を読み取り専用アクセスにするかまたはパスワードによるプロテクトを使うことを推奨します。
  
  これを行う方法については、Windows の文書、または次の文書を参照してください。「共有フォルダをネットワーク上のウイルスから保護する方法」
  
• ネットワークから感染を駆除しようとしている場合は、まず最初にすべての共有が無効になっているかまたは「読み取り専用」に設定されていることを必ず確認してください。
• このツールは、Novell NetWare サーバー上で実行するようには設計されていません。この脅威を NetWare サーバーから駆除するには、まず最新のウイルス定義を持っていることを確認し、次にシマンテックのアンチウイルス製品でシステム全体のスキャンを行ってください。

ツールのダウンロードと実行方法

重要: Windows NT 4.0、Windows 2000、Windows XP 上でこのツールを実行するには、管理者権限を持っている必要があります。

ネットワーク管理者への注意: MS Exchange 2000 サーバーを実行している場合は、このツールをコマンドラインから Exclude スイッチを用いて実行することにより、スキャンから M ドライブを除外することをお勧めします。詳しくは、Microsoft のナレッジベースアーティクル「Exchange 2000 の M ドライブのバックアップまたはスキャンを行うと問題が発生する（アーティクル 298924）」を参照してください。

このツールをダウンロードして実行するには、次のステップに従ってください。

1. FixBobax.exe ファイルを次からダウンロードしてください。http://securityresponse.symantec.com/avcenter/FixBobax.exe
2. このファイルを Windows のデスクトップなどの便利な場所に保存します。
3. オプション: デジタル署名の正当性をチェックするには、この文書で後述する「デジタル署名」のセクションを参照してください。
   
   注意: このツールを Security Response のWeb サイトからダウンロードしていることが確実に分かっている場合は、このステップは省略できます。これが確実ではない場合、またはネットワーク管理者であり導入前にファイルを認証する必要がある場合は、ステップ 4 へ進む前に「デジタル署名」のセクションのステップを行ってください。
   
4. 実行中のプログラムをすべて閉じます。
5. ネットワーク上にある場合やインターネットの常時接続を行っている場合は、ネットワークとインターネットからコンピュータの接続を切断してください。
6. Windows Me または XP を実行している場合は、システムの復元機能を無効にしてください。システムの復元機能を無効にする方法については、 Windows のマニュアルか、あるいは下記の文書のいずれかをご覧ください。
   • Windows Me のシステムの復元機能を有効/無効にする方法
   • Windows XP のシステムの復元機能を有効/無効にする方法
     
     
7. コンピュータをセーフモードで再起動します。コンピュータをセーフモードで再起動する方法については、「コンピュータをセーフモードで起動する方法」をご覧ください。
8. 今ダウンロードしたファイルを探し出します。
9. FixBobax.exe ファイルをダブルクリックして、駆除ツールを開始します。
10. [Start]をクリックしてプロセスを開始し、ツールを実行させておきます。
11. コンピュータを再起動します。
12. システムが確実にクリーンな状態になるように、駆除ツールを再度実行します。
13. Windows Me または XP を実行している場合は、システムの復元機能を再び有効にします。
14. 通常ネットワーク上にある場合やインターネットの常時接続を行っている場合は、ネットワークやインターネットへコンピュータを再び接続します。
15. LiveUpdate を実行して、確実に最新のウイルス定義を使うようにしてください。

ツールの実行が終了すると、この脅威がコンピュータに感染していたかどうかを示すメッセージが表示されます。このツールは、次のような結果を表示します。

• Total number of the scanned files（スキャンしたファイルの合計数）
• Number of deleted files（削除ファイルの数）
• Number of repaired files（修復したファイルの数）
• Number of terminated viral processes（終了させたウイルスプロセスの数）
• Number of fixed registry entries（修復したレジストリエントリの数）

このツールが行うこと

この駆除ツールは次のことを行います。

1. 関連付けられているプロセスを終了させる
2. 関連付けられているファイルを削除する
3. この脅威によって追加されたレジストリ値を削除する
4. Shared Access サービスを Microsoft Windows のデフォルトへ復元する

スイッチ

次のスイッチは、ネットワーク管理者による使用のために設計されています。

スイッチ	説明
/HELP, /H, /?	ヘルプメッセージを表示します。
/NOFIXREG	レジストリの復元を無効にします（このスイッチの使用は推奨されません）
/SILENT, /S	サイレントモードを有効にします。
/LOG=[パス名]	ログファイルを作成します。[パス名] は、ツールの出力を保存するロケーションです。デフォルトでは、このスイッチは、ログファイル FixBobax.log をこの駆除ツールの実行元と同じフォルダ内に作成します。
/MAPPED	マップされたネットワークドライブをスキャンします。（このスイッチの使用は推奨しません。下記の「注意:」を参照してください。）
/START	ツールがスキャンを即時に実行するように強制します。
/EXCLUDE=[パス]	指定された [パス] をスキャンから除外します。（このスイッチの使用は推奨しません。下記の「注意:」を参照してください。）
/NOFILESCAN	ファイルシステムのスキャンを防ぎます

重要: /MAPPED スイッチを使用すると、リモートコンピューター上のウイルスを完全に駆除できる確証がなくなります。理由は次のとおりです。

• マップされたドライブのスキャンでは、マップされたフォルダしかスキャンされません。これは、リモートコンピュータ上のすべてのフォルダを含まない可能性があり、検出からはずれる可能性があります。
• マップされたドライブ上でウイルスファイルが検出される場合、リモートコンピューター上のプログラムがこのファイルを使うと、駆除は失敗します。

そのため、このツールを各コンピュータ上で実行する必要があります。

/EXCLUDE スイッチは、単一のパスでのみ機能します。複数のパスでは機能しません。代替案としては、/NOFILESCAN スイッチの後で、アンチウイルスを使って手動でスキャンする方法があります。これは、ツールにレジストリを変更させます。その後、最新のウイルス定義と共にアンチウイルスを使ってコンピュータをスキャンします。これらのステップを行うことによって、ファイルシステムをクリーンな状態にできるはずです。

次に、1 つのドライブを除外するのに使うことができるコマンドラインの例を示します。

"C:\Documents and Settings\user1\Desktop\FixBobax.exe" /EXCLUDE=M:\ /LOG=c:\FixBobax.txt

あるいは、下記のコマンドラインは、ファイルシステムのスキャンはスキップしますが、レジストリの変更は修復します。その後、適切な除外を用いてシステムの通常のスキャンを実行します。

"C:\Documents and Settings\user1\Desktop\FixBobax.exe" /NOFILESCAN /LOG=c:\FixBobax.txt

注意: ログファイルには任意の名前をつけ、任意のロケーションに保存することができます。



デジタル署名
セキュリティの目的のために、この駆除ツールはデジタル署名がなされています。シマンテックでは、ユーザーが Symantec Security Response の Web サイトから直接ダウンロードした駆除ツールのコピーのみを使うことを推奨します。

これが確実でない場合、またはネットワーク管理者で導入前にファイルを認証する必要がある場合は、デジタル署名の正当性をチェックする必要があります。

以下の手順を実行してください。

1. http://www.wmsoftware.com/free.htm へアクセスしてください。
2. Chktrust.exe ファイルをダウンロードして、駆除ツールを保存したフォルダと同じフォルダ内に保存します。
   
   注意: 以下のステップのほとんどは、コマンドプロンプトで行います。駆除ツールを Windows のデスクトップへダウンロードした場合は、まず最初にこのツールを C ドライブのルートへ移動すると、より簡単になります。その場合、Chktrust.exe ファイルも C のルートへ保存します。
   
   （ステップ 3 では、駆除ツールと Chktrust.exe の両方が C ドライブのルート内にあるものと想定しています。）
   
   
3. ［Start（スタート）］、［Run（ファイル名を指定して実行）］の順にクリックします。
4. 次のうちのいずれかを入力します。
   • Windows 95/98/Me:
     
     command
     
     
   • Windows NT/2000/XP:
     
     cmd
     
     
5. ［OK］をクリックします。
6. command ウィンドウで、次のように入力し、各行の入力後に Enter キーを押します。
   
   cd\
   cd downloads
   chktrust -i FixBobax.exe
   
   
7. お使いのオペレーティングシステムによって、次のうちのいずれかのメッセージが表示されます。
   
   • Windows XP SP2:
     ［Trust Validation Utility］ウィンドウが表示されます。
     
     ［Publisher（発行元）］の下の Symantec Corporation のリンクをクリックしてください。デジタル署名の詳細が表示されます。
     このツールの正当性を確認するには、次のフィールドのコンテンツを確認してください。
     
     Name（名前）: Symantec Corporation
     署名時刻: 2005 年 9 月 1 日 08:16:44 AM
     
     
   • その他のオペレーティングシステム:
     次のメッセージが表示されます。
     
     「W32.Bobax@mm Removal Tool」は  08/01/2005 08:16:44 AM に署名されて Symantec Corporation から配布されています。インストールして実行しますか ?
     
     注意:
   • 上記のデジタル署名内の日時は、太平洋標準時刻に基づいています。これらは、ご使用のコンピューターのタイムゾーンおよび地域オプションの設定に調節されます。
   • サマータイムを使っている場合は、表示される時刻は 1 時間ちょうど早くなります。
   • このダイアログボックスが表示されない場合は、2 つの理由が考えられます。
     • このツールがシマンテックからのものではない: このツールが正規のものであり、正規のシマンテック Web サイトからダウンロードしたことが確実でない限り、そのツールを実行すべきではありません。
     • このツールがシマンテックからのものであり、正規のものである: しかし、お使いのオペレーティングシステムは、シマンテックからのコンテンツを常に信頼するように以前に指示されている。これについての情報と、確認ダイアログを再度表示する方法については、次の文書をお読みください。「How to restore the Publisher Authenticity confirmation dialog box（英語）」
       
       
8. ダイアログボックスを閉じるには、 ［Yes（はい）］または［Run（実行）］をクリックしてください。
9. exit と入力してから、Enter キーを押します。 （これにより、MS-DOS セッションが終了します。）