Trojan.Ramvicrype Removal Tool

このツールは、Trojan.Ramvicrype の感染を駆除するように設計されています。

重要:

• コンピュータがネットワーク上にある場合や DSL や ケーブルモデムなどのインターネットの常時接続を行っている場合は、ネットワークやインターネットからそのコンピュータの接続を切断してください。コンピュータをネットワークやインターネットに再接続する前に、ファイル共有をパスワードで保護するか無効にする、または共有ファイルを読み取り専用に設定します。このワームはネットワーク化されたコンピュータ上の共有フォルダを使って拡散するため、このワームを駆除した後にコンピュータが再度このワームに感染しないように、共有を読み取り専用アクセスにするか、パスワードで保護することを推奨します。
  
  この方法については、Windows のマニュアル、または次の文書を参照してください。「共有フォルダをネットワーク上のウイルスから保護する方法」
  
  
• ネットワークから感染を駆除する場合は、最初にすべての共有が無効になっているか、読み取り専用に設定されていることを確認してください。
• このツールは、Novell NetWare サーバー上で実行するようには設計されていません。Novell NetWare サーバーからこの脅威を駆除するには、最新のウイルス定義を適用したシマンテック製ウイルス対策製品でシステムの完全スキャンを実行してください。
  

ツールのダウンロードと実行方法

重要: Windows NT 4.0、Windows 2000、Windows XP 上でこのツールを実行するには、管理者権限を持っている必要があります。

ネットワーク管理者への注意事項: MS Exchange 2000 Server を実行している場合は、コマンドラインから Exclude スイッチを使ってツールを実行することによって、M ドライブをスキャンから除外することを推奨します。詳細については、Microsoft 社のサポート技術情報: 「Exchange 2000 の M ドライブのバックアップまたはスキャンを行うと問題が発生する」（文書番号 320159）を参照してください。

このツールをダウンロードして実行するには、次の手順に従ってください。

1. 次のサイトから、FixXrupter.exe ファイルをダウンロードします。 http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/FixRamvicrype.exe
2. このファイルを、Windows のデスクトップなどの便利な場所に保存します。
3. オプション: デジタル署名の正当性をチェックするには、この文書で後述する「デジタル署名」のセクションを参照します。
   
   注意: このツールをセキュリティレスポンスの Web サイトからダウンロードしていることが確実である場合は、この手順は省略できます。不明な場合、またはネットワーク管理者として導入前にファイルを認証する必要がある場合は、手順 4 に進む前に「デジタル署名」のセクションの手順を行います。
   
   
4. 実行中のすべてのプログラムを終了します。
5. コンピュータがネットワーク上にある場合、またはインターネットに常時接続している場合は、コンピュータをネットワークやインターネットの接続から切断します。
6. Windows Me または XP を実行している場合は、システムの復元機能を無効にします。システムの復元機能を無効にする方法については、お手持ちの Windows のマニュアルまたは下記の文書を参照してください。
   
   「Windows Me のシステムの復元機能を有効/無効にする方法」
   
   「Windows XP のシステムの復元機能を有効/無効にする方法」
   
   
7. ダウンロードしたファイルを選択します。
8. FixBrisvA.exe ファイルをダブルクリックして、駆除ツールを開始します。
9. ［スタート］をクリックしてプロセスを開始し、ツールを実行します。
   
   注意: ツールの実行時に何らかの問題が生じた場合や脅威を削除していないと思われる場合は、「コンピュータをセーフモードで起動する方法」を参照してコンピュータをセーフモードで再起動し、このツールを再度実行してください。
   
   
10. コンピュータを再起動します。
11. システムがクリーンであることを確認してから、再度駆除ツールを実行します。
12. Windows Me または XP を実行している場合は、システムの復元機能を有効に戻します。
13. コンピュータがネットワーク上にある場合、またはインターネットに常時接続している場合は、コンピュータをネットワークまたはインターネットに再接続します。
14. LiveUpdate を実行して、最新のウイルス定義を適用していることを確認します。
    

ツールの実行が完了すると、コンピュータが脅威に感染しているかどうかを報告するメッセージが表示されます。このツールは次のような結果を表示します。

• スキャンしたファイルの数
• 削除したファイルの数
• 修復したファイルの数
• 終了させたウイルスプロセスの数
• 修復したレジストリエントリの数
  

このツールが行うこと
この駆除ツールは、次の処理を行います。

• 関連するプロセスの終了
• 関連するファイルの削除
• 脅威によって追加されたレジストリ値の削除
  

スイッチ
次のスイッチは、ネットワーク管理者が使用するために設計されています。
/HELP, /H, /?
ヘルプメッセージを表示します。
/NOFIXREG
レジストリの復元を無効にします。（このスイッチの使用は推奨しません）
/SILENT, /S
サイレントモードを有効にします。
/LOG=[パス名]
ログファイルを作成します。[パス名] は、このツールによる出力を保存する場所です。このスイッチは、デフォルトでこの駆除ツールが実行されるフォルダと同じフォルダにログファイル(FixDwndp.log) を作成します。
/MAPPED
マップされたネットワークドライブをスキャンします。（このスイッチの使用は推奨しません。「重要:」の説明を参照してください）
/START
直ちにスキャンを開始するように強制します。
/EXCLUDE=[パス]
指定した［パス］をスキャンの対象から除外します。（このスイッチの使用は推奨しません。「重要:」の説明を参照してください）
/NOCANCEL
駆除ツールのキャンセル機能を無効にします。
/NOFILESCAN
ファイルシステムのスキャンを防ぎます。
/NOVULNCHECK
パッチが適用されていないファイルの確認を無効にします。

重要: /MAPPED スイッチを使用した場合、次の理由により、リモートコンピュータのウイルスを完全に駆除することはできません。

• マップされたドライブのスキャンは、マップされたフォルダだけがスキャンの対象となります。リモートコンピュータのすべてのフォルダがスキャン対象に含まれない可能性があるため、検出に失敗することがあります。
• マップされたドライブでウイルスファイルが検出されたとき、そのファイルがリモートコンピュータ上のプログラムによって使用されている場合は駆除されません。
  

そのため、コンピュータごとにツールを実行する必要があります。

/EXCLUDE スイッチは、単一のパスでのみ機能し、複数のパスでは使えません。または、/NOFILESCAN スイッチを使用した後、ウイルス対策製品で手動スキャンを実行するという方法があります。これにより、ツールがレジストリを変更します。その後、最新のウイルス定義を適用したウイルス対策製品でコンピュータをスキャンします。この方法で、ファイルシステムをクリーンな状態にすることができます。

次のコマンドを使用すると、単一のドライブを除外することができます。

"C:\Documents and Settings\user1\Desktop\FixRamvicrype.exe" /EXCLUDE=M:\ /LOG=c:\FixRamvicrype.txt
または、次のコマンドを使用して、ファイルシステムのスキャンをスキップして、レジストリの変更を修復します。
その後、適切な除外方法で通常のシステムのスキャンを実行します。

"C:\Documents and Settings\user1\Desktop\FixRamvicrype.exe" /NOFILESCAN /LOG=c:\FixRamvicrype.txt

注意: ログファイルは、任意の名前を付けて任意の場所に保存することができます。

デジタル署名
セキュリティ上の目的で、この駆除ツールはデジタル署名されています。シマンテックでは、シマンテックセキュリティレスポンスの Web サイトから直接ダウンロードした駆除ツールのコピーのみを使うことを推奨します。

不明な場合、またはネットワーク管理者で導入前にファイルを認証する必要がある場合は、デジタル署名の正当性をチェックする必要があります。

次の手順に従ってください。

1. 「http://www.wmsoftware.com/free.htm」(英語) に移動します。
2. 駆除ツールを保存したフォルダと同じフォルダに、Chktrust.exe ファイルをダウンロードして保存します。
   
   注意: 以下の手順の大半は、コマンドプロンプトで行います。駆除ツールを Windows のデスクトップにダウンロードした場合は、最初にこのツールを C ドライブのルートに移動すると、より簡単に作業が行えます。次に、Chktrust.exe ファイルも C ドライブのルートに保存します。
   
   (手順 3 では、駆除ツールと Chktrust.exe の両方が C ドライブのルートに存在すると想定しています。)
   
   
3. ［スタート］、［ファイル名を指定して実行］の順にクリックします。
4. ご使用のオペレーティングシステムに応じて、次の文字列を入力してください。
   
   Windows 95/98/Me:
   command
   
   Windows NT/2000/XP:
   cmd
   
   
5. ［OK］ をクリックします。
6. コマンドウィンドウで、次のコマンドを入力し、各行末で Enter キーを押します。
   
   cd\
   cd downloads
   chktrust -i FixRamvicrype.exe
   
   
7. ご使用のオペレーティングシステムに応じて、次のメッセージのいずれかが表示されます。
   
   Windows XP SP2:
   Trust Validation Utility ウィンドウが表示されます。
   
   [Publisher] の下の [Symantec Corporation link] をクリックします。デジタル署名の詳細が表示されます。
   次のフィールドの内容を確認して、このツールが正規のものであるかを確認します。
   
   Name: Symantec Corporation
   Signing Time: 10/29/2009 11:43:42 AM
   
   その他のオペレーティングシステム:
   次のメッセージが表示されます。
   
   Do you want to install and run "FixRamvicrype.exe" signed on Thursday, October 29, 2009 11:43:42 AM and distributed by Symantec Corporation?
   
   注意:
   上記のデジタル署名内の日時は、太平洋標準時刻に基づいています。これらはご使用のコンピュータのタイムゾーンと地域オプションの設定に調節されます。
   
   サマータイムを実施している場合、表示される時刻はちょうど 1 時間早くなります。
   
   このダイアログボックスが表示されない場合は、次の 2 つの理由が考えられます。
   
   このツールがシマンテックから提供されたものでない場合: このツールが正規のものであり、正規のシマンテック Web サイトからダウンロードしたことを確認できない場合は、このツールを実行しないでください。
   
   このツールがシマンテックから提供された正規のものである場合: ご使用のオペレーティングシステムは、既にシマンテックからの内容を常に信頼することに同意しています。確認ダイアログを再度表示する方法については、「How to restore the Publisher Authenticity confirmation dialog box」（英語）を参照してください。
   
   
8. ダイアログボックスを閉じるには、［Yes (はい)］または［Run (実行)］をクリックします。
9. exit と入力してから、 [Enter] キーを押します。(これにより、MS-DOS セッションが閉じられます。)