W32.Serflog Removal Tool

Symantec Security Response は、W32.Serflog ワームの次の亜種の感染を除去するための駆除ツールを開発しました。

• W32.Serflog.A
• W32.Serflog.C
  

重要:

• ネットワーク上にある場合や DSL やケーブルモデムなどのインターネットへの常時接続を行っている場合は、ネットワークとインターネットからコンピュータの接続を切断してください。コンピュータをネットワークやインターネットへ再接続する前に、ファイル共有を無効にするかパスワードでプロテクトするか、または共有ファイルを読み取り専用に設定してください。このワームはネットワーク化されたコンピューター上の共有フォルダを使用して拡散するため、駆除後にコンピューターにこのワームが再度感染しないようにするためです。共有は、読み取り専用アクセスにするかまたはパスワード保護を使用することを、シマンテックでは推奨します。
  
  これを行う方法については、ご使用の Windows の文書、または次の文書を参照してください。 「共有フォルダをネットワーク上のウイルスから保護する方法」
  
• ネットワークから感染を駆除しようとしている場合は、まず最初にすべての共有が無効になっているかまたは「読み取り専用」に設定されていることを必ず確認してください。
• このツールは、Novell NetWare サーバー上で実行するようには設計されていません。この脅威を NetWare サーバーから駆除するには、まず最新のウイルス定義を持っていることを確認し、次にシマンテックのアンチウイルス製品でシステム全体のスキャンを行ってください。

ツールのダウンロードと実行方法

重要: Windows NT 4.0、Windows 2000、Windows XP 上でこのツールを実行するには、管理者権限を持っている必要があります。

ネットワーク管理者への注意: MS Exchange 2000 サーバーを実行している場合は、このツールをコマンドラインから Exclude スイッチを用いて実行することにより、スキャンから M ドライブを除外することをお勧めします。詳しくは、Microsoft ナレッジベースのアーティクル「Exchange 2000 の M ドライブのバックアップまたはスキャンを行うと問題が発生する（アーティクル 298924）」をお読みください。

このツールをダウンロードして実行するには、次のステップに従ってください。

1. FixSflog.exe ファイルを次からダウンロードします。http://securityresponse.symantec.com/avcenter/FixSflog.exe
2. このファイルを Windows デスクトップなどの便利な場所に保存します。
3. オプション: デジタル署名の正当性をチェックするには、この文書で後述する「デジタル署名」のセクションを参照してください。
   
   注意: このツールを Security Response のWeb サイトからダウンロードしていることが確実に分かっている場合は、このステップは省略できます。これが確実ではない場合、またはネットワーク管理者であり導入前にファイルを認証する必要がある場合は、ステップ 4 へ進む前に「デジタル署名」のセクションのステップを行ってください。
   
   
4. 実行中のプログラムをすべて閉じます。
5. ネットワーク上にある場合やインターネットの常時接続を行っている場合は、ネットワークとインターネットからコンピュータの接続を切断してください。
6. Windows Me または XP を実行している場合は、システムの復元機能を無効にしてください。システムの復元機能を無効にする方法については、お使いの Windows の文書、または次の文書のうちのいずれかをお読みください。
   
   
   • 「Windows Me のシステムの復元機能を有効/無効にする方法」
   • 「Windows XP のシステムの復元機能を有効/無効にする方法」
     
     
7. 今ダウンロードしたファイルを探し出します。
8. FixSflog.exe ファイルをダブルクリックして駆除ツールを開始します。
9. [Start]をクリックしてプロセスを開始し、ツールを実行させておきます。
10. コンピュータを再起動します。
11. システムが確実にクリーンな状態になるように、駆除ツールを再度実行します。
12. Windows Me または XP 実行している場合は、システムの復元機能を再び有効にします。
13. 通常ネットワーク上にある場合やインターネットの常時接続を行っている場合は、ネットワークやインターネットへコンピュータを再び接続します。
14. LiveUpdate を実行して、確実に最新のウイルス定義を使うようにしてください。

ツールの実行が終了すると、コンピュータが W32.Serflog に感染していたかどうかを示すメッセージが表示されます。このツールは、次のような結果を表示します。

• Total number of the scanned files（スキャンしたファイルの合計数）
• Number of deleted files（削除ファイルの数）
• Number of repaired files（修復したファイルの数）
• Number of terminated viral processes（終了させたウイルスプロセスの数）
• Number of fixed registry entries（修復したレジストリエントリの数）

このツールが行うこと

W32.Serflog 駆除ツールは次のことを行います。

1. W32.Serflog のプロセスを終了させる
2. W32.Serflog のファイルを削除する
3. W32.Serflog が追加したレジストリ値を削除する
4. Hosts ファイルに追加された値を削除する

スイッチ

次のスイッチは、ネットワーク管理者による使用のために設計されています。

スイッチ	説明
/HELP, /H, /?	ヘルプメッセージを表示します。
/NOFIXREG	レジストリの復元を無効にします（このスイッチの使用は推奨されません）
/SILENT, /S	サイレントモードを有効にします。
/LOG=[パス名]	ログファイルを作成します。[パス名] は、ツールの出力を保存するロケーションです。デフォルトでは、このスイッチは、ログファイル FixSflog.log をこの駆除ツールの実行元と同じフォルダ内に作成します。
/MAPPED	マップされたネットワークドライブをスキャンします。（このスイッチの使用は推奨されません。下記の「注意:」を参照してください。）
/START	ツールがスキャンを即時に実行するように強制します。
/EXCLUDE=[パス]	指定された [パス] をスキャンから除外します。（このスイッチの使用は推奨されません。下記の「注意:」を参照してください。）
/NOFILESCAN	ファイルシステムのスキャンを防ぎます

重要: /MAPPED スイッチを使用すると、リモートコンピューター上のウイルスを完全に駆除できる確証がなくなります。理由は次のとおりです。

• マップされたドライブのスキャンでは、マップされたフォルダしかスキャンされません。これは、リモートコンピュータ上のすべてのフォルダを含まない可能性があり、検出からはずれる可能性があります。
• マップされたドライブ上でウイルスファイルが検出される場合、リモートコンピューター上のプログラムがこのファイルを使うと、駆除は失敗します。

そのため、このツールを各コンピュータ上で実行する必要があります。

/EXCLUDE スイッチは、単一のパスでのみ機能します。複数のパスでは機能しません。代替案としては、/NOFILESCAN スイッチの後で、アンチウイルスを使って手動でスキャンする方法があります。これは、ツールにレジストリを変更させます。その後、最新のウイルス定義と共にアンチウイルスを使ってコンピュータをスキャンします。これらのステップを行うことによって、ファイルシステムをクリーンな状態にできるはずです。

次に、1 つのドライブを除外するのに使うことができるコマンドラインの例を示します。

"C:\Documents and Settings\user1\Desktop\FixSflog.exe" /EXCLUDE=M:\ /LOG=c:\Serflog.txt

あるいは、下記のコマンドラインは、ファイルシステムのスキャンはスキップしますが、レジストリの変更は修復します。その後、適切な除外を用いてシステムの通常のスキャンを実行します。

"C:\Documents and Settings\user1\Desktop\FixSflog.exe" /NOFILESCAN /LOG=c:\Serflog.txt

注意: ログファイルには任意の名前をつけ、任意のロケーションに保存することができます。


デジタル署名
セキュリティのために、FixSflog.exe はデジタル署名されています。シマンテックでは、ユーザーが Symantec Security Response の Web サイトから直接ダウンロードした FixSflog.exe のコピーのみを使用することを推奨します。

これが確実でない場合、またはネットワーク管理者で導入前にファイルを認証する必要がある場合は、デジタル署名の正当性をチェックする必要があります。

以下の手順を実行してください。

1. http://www.wmsoftware.com/free.htm へアクセスしてください。
2. Chktrust.exe ファイルをダウンロードして、FixSflog.exe と同じフォルダ内に保存します。
   
   注意: 以下のステップのほとんどは、コマンドプロンプトで行います。駆除ツールを Windows のデスクトップへダウンロードした場合は、まず最初にこのツールを C ドライブのルートへ移動すると、より簡単になります。その場合、Chktrust.exe ファイルも C のルートへ保存します。
   
   （ステップ 3 では、駆除ツールと Chktrust.exe の両方が C ドライブのルート内にあるものと想定しています。）
   
   
3. ［Start（スタート）］、［Run（ファイル名を指定して実行）］の順にクリックします。
4. 次のうちのいずれかを入力します。
   • Windows 95/98/Me:
     
     command
     
     
   • Windows NT/2000/XP:
     
     cmd
     
     
5. ［OK］をクリックします。
6. command ウィンドウで、次のように入力し、各行の入力後に Enter キーを押します。
   
   cd\
   cd downloads
   chktrust -i FixSflog.exe
   
   次のメッセージが表示されます。
   
   「W32.Serflog Removal Tool」は、 03/18/2005 08:05 AM に署名されて Symantec Corporation により配布されています。インストールして実行しますか ?
   
   注意:
   • ご使用のコンピューターが太平洋時間帯に設定されていない場合は、このダイアログボックスに表示される日付と時刻はユーザーのタイムゾーンに調節されます。
   • サマータイムを使っている場合は、表示される時刻は 1 時間ちょうど早くなります。
   • このダイアログボックスが表示されない場合は、2 つの理由が考えられます。
     • このツールがシマンテックからのものではない: このツールが正規のものであり、正規のシマンテック Web サイトからダウンロードしたことが確実でない限り、そのツールを実行すべきではありません。
     • このツールがシマンテックからのものであり、正規のものである: しかし、お使いのオペレーティングシステムは、シマンテックからのコンテンツを常に信頼するように以前に指示されている。これについての情報と、確認ダイアログを再度表示する方法については、次の文書をお読みください。「How to restore the Publisher Authenticity confirmation dialog box（英語）」
       
       
7. ダイアログボックスを閉じるには、［Yes（はい）］をクリックしてください。
8. exit と入力してから、Enter キーを押します。 （これにより、MS-DOS セッションが終了します。）