Trojan.Vundo.B Removal Tool

このツールは、Trojan.Vundo.B の感染を駆除するように設計されています。 重要: この駆除ツールはセーフモードで実行する必要があります。これを行う方法については、後述のステップ 7 を参照してください。 ネットワーク上にある場合や DSL や ケーブルモデムなどのインターネットの常時接続を行っている場合は、ネットワークやインターネットからそのコンピュータを接続切断してください。コンピュータをネットワークやインターネットへ再接続する前に、ファイル共有を無効にするかパスワードでプロテクトするか、または共有ファイルを読み取り専用に設定してください。このワームはネットワーク化されたコンピューター上の共有フォルダを使って拡散するため、駆除後にコンピューターにこのワームが再度感染しないようにするために、シマンテックでは、共有を読み取り専用アクセスにするかまたはパスワードによるプロテクトを使うことを推奨します。 これを行う方法については、お使いの Windows の文書、または文書「共有フォルダをネットワーク上のウイルスから保護する方法」を参照してください。 感染をネットワークから駆除する場合は、まずすべての共有が無効になっているかまたは読み取り専用に設定されていることを確認してください。 このツールは、Novell NetWare サーバー上で実行するようには設計されていません。この脅威を NetWare サーバーから駆除するには、まず最新のウイルス定義を持っていることを確認し、次にシマンテックのアンチウイルス製品でシステム全体のスキャンを行ってください。 ツールのダウンロードと実行方法 重要: Windows NT 4.0、Windows 2000、Windows XP 上でこのツールを実行するには、管理者権限を持っている必要があります。 ネットワーク管理者への注意: MS Exchange 2000 サーバーを稼動している場合は、このツールを Exclude スイッチと共にコマンドラインから実行することによって、スキャンから M ドライブを除外することをお薦めします。詳細については、Microsoft サポート技術情報「Exchange 2000 の M ドライブのバックアップまたはスキャンを行うと問題が発生する（298924）」を参照してください。 このツールをダウンロードして実行するには、次のステップを行ってください。 http://securityresponse.symantec.com/avcenter/FxVundoB.exe から FxVundoB.exe ファイルをダウンロードします。 このファイルを、Windows のデスクトップなどの便利な場所に保存します。 オプション: デジタル署名の正当性をチェックするには、この文書で後述する「デジタル署名」のセクションを参照してください。 注意: このツールを Security Response の Web サイトからダウンロードしていることが確実である場合は、このステップは省略することができます。これが確実ではない場合、またはネットワーク管理者であり導入前にファイルを認証する必要がある場合は、ステップ 4 へ進む前に「デジタル署名」のセクションのステップを行ってください。 実行中のプログラムをすべて閉じます。 ネットワーク上にある場合、またはインターネットへの常時接続を行っている場合は、コンピューターをネットワークやインターネットから接続切断してください。 Windows Me または XP を実行している場合は、システムの復元機能を無効にしてください。システムの復元機能を無効にする方法については、お使いの Windows の文書か、または次の文書のうちのいずれかを参照してください。 Windows Me のシステムの復元機能を有効/無効にする方法 Windows XP システムの復元機能を有効/無効にする方法 コンピュータをセーフモードで再起動します。これを行う方法については、「コンピュータをセーフモードで起動する方法」 を参照してください。 FxVundoB.exe ファイルをダブルクリックして駆除ツールを開始します。 ［Start（スタート）］をクリックしてプロセスを開始し、ツールを実行させておきます。 コンピュータを再起動します。 システムが確実にクリーンな状態になるように、駆除ツールを再度実行します。 Windows Me または XP を実行している場合は、システムの復元機能を再び有効にします。 ネットワーク上にある場合、またはインターネットへの常時接続を行っている場合は、コンピューターをネットワークまたはインターネットへ再び接続してください。 LiveUpdate を実行して、確実に最新のウイルス定義を使うようにしてください。 ツールの実行が終了すると、コンピュータが Trojan.Vundo.B に感染していたかどうかを示すメッセージが表示されます。このツールはおよそ次のような結果を表示します。 Total number of the scanned files（スキャンしたファイルの数） Number of deleted files（削除したファイルの数） Number of repaired files（修復したファイルの数） Number of terminated viral processes（終了させたウイルスプロセスの数） Number of fixed registry entries（修復したレジストリエントリの数） このツールが行うこと この駆除ツールは、次のことを行います。 Trojan.Vundo.B のプロセスを終了させます Trojan.Vundo.B のファイルを削除します このトロイの木馬が追加したレジストリ値を削除します スイッチ 次のスイッチは、ネットワーク管理者による使用のために設計されています。 スイッチの説明 /HELP, /H, /? ヘルプメッセージを表示します。 /NOFIXREG レジストリの修復を無効にします（このスイッチの使用は推奨しません）。 /SILENT, /S サイレントモードを有効にします。 /LOG=[パス名] ログファイルを作成します。[パス名] は、このツールによる出力を保存するためのロケーションです。デフォルトでは、このスイッチは、ログファイル FxVundoB.log をこの駆除ツールの実行元と同じフォルダ内に作成します。 /MAPPED マップされたネットワークドライブをスキャンします。（このスイッチの使用は推奨しません。以下の「注意:」を参照してください。） /START このツールがスキャンを直ちに開始するように強制します。 /EXCLUDE=[パス] 指定された [パス] をスキャンから除外します。 （このスイッチの使用は推奨しません。以下の「注意:」を参照してください。） /NOFILESCAN ファイルシステムのスキャンを防ぎます。 重要: /MAPPED スイッチを使うと、リモートコンピューター上のウイルスを完全に駆除できる確証がなくなります。理由は次のとおりです。 マップされたドライブのスキャンは、マップされたフォルダのみをスキャンします。これはリモートコンピューター上のすべてのフォルダを含まない可能性があり、それによって検出を見落とす可能性があります。 マップされたドライブ上でウイルスファイルが検出される場合、リモートコンピューター上のプログラムがこのファイルを使うと、駆除は失敗します。 そのため、このツールを各コンピュータ上で実行する必要があります。 /EXCLUDE スイッチは、単一のパスでのみ機能します。複数のパスでは機能しません。代替案としては、/NOFILESCAN スイッチの後で、アンチウイルスを使って手動でスキャンする方法があります。これは、ツールにレジストリを変更させます。その後、最新のウイルス定義と共にアンチウイルスを使ってコンピュータをスキャンします。これらのステップを行うことによって、ファイルシステムをクリーンな状態にできるはずです。 次に、1 つのドライブを除外するのに使うことができるコマンドラインの例を示します。 "C:\Documents and Settings\user1\Desktop\FxVundoB.exe" /EXCLUDE=M:\ /LOG=c:\FxVundoB.txt あるいは、下記のコマンドラインは、ファイルシステムのスキャンはスキップしますが、レジストリの変更は修復します。その後、適切な除外を用いてシステムの通常のスキャンを実行します。 "C:\Documents and Settings\user1\Desktop\FxVundoB.exe" /NOFILESCAN /LOG=c:\FxVundoB.txt 注意: ログファイルは、任意の名前を指定して任意のロケーションに保存することができます。 デジタル署名 セキュリティの目的のために、この駆除ツールはデジタル署名がなされています。シマンテックでは、ユーザーが Symantec Security Response の Web サイトから直接ダウンロードした駆除ツールのコピーのみを使うことを推奨します。 これが確実でない場合、またはネットワーク管理者で導入前にファイルを認証する必要がある場合は、デジタル署名の正当性をチェックする必要があります。 以下の手順を実行してください。 http://www.wmsoftware.com/free.htm へアクセスします。 Chktrust.exe ファイルをダウンロードして、駆除ツールを保存したフォルダと同じフォルダ内に保存します。 注意: 以下のステップのうちほとんどは、コマンドプロンプトで行います。駆除ツールを Windows のデスクトップへダウンロードした場合は、まず最初にこのツールを C ドライブのルートへ移動すると、より簡単になります。その場合、Chktrust.exe ファイルも C のルートへ保存します。 （ステップ 3 では、駆除ツールと Chktrust.exe の両方が C ドライブのルート内にあるものと想定しています。） ［Start（スタート）］、［Run（ファイル名を指定して実行）］の順にクリックします。 次のうちのいずれかを入力します。 Windows 95/98/Me: command Windows NT/2000/XP: cmd ［OK］をクリックします。 command ウィンドウで、次のように入力し、各行の入力後に Enter キーを押します。 cdcd downloads chktrust -i FxVundoB.exe お使いのオペレーティングシステムによって、次のうちのいずれかのメッセージが表示されます。 Windows XP SP2: ［Trust Validation Utility］ウィンドウが表示されます。 ［Publisher（発行元）］の下の Symantec Corporation のリンクをクリックしてください。デジタル署名の詳細が表示されます。 このツールの正当性を確認するには、次のフィールドのコンテンツを確認してください。 Name（名前）: Symantec Corporation Signing Time（署名時刻）: Friday, April 29, 2005 12:29:41 PM 上記以外のオペレーティングシステム: 次のメッセージが表示されます。 Trojan.Vundo.B Removal Tool は、04/29/2005 12:29 PM に署名されて Symantec Corporation から配布されています。インストールして実行しますか ? 注意: 上記のデジタル署名内の日時は、太平洋標準時刻に基づいています。これらは、お使いのコンピューターのタイムゾーンと地域オプションの設定に調節されます。 サマータイムを使っている場合は、表示される時刻は 1 時間ちょうど早くなります。 このダイアログボックスが表示されない場合は、2 つの理由が考えられます。 このツールがシマンテックからのものではない: このツールが正規のものであり、正規のシマンテック Web サイトからダウンロードしたことが確実でない限り、そのツールを実行すべきではありません。 このツールがシマンテックからのものであり、正規のものである: しかし、お使いのオペレーティングシステムは、シマンテックからのコンテンツを常に信頼するように以前に指示されている。これについての情報と、確認ダイアログを再度表示する方法については、次の文書をお読みください。「How to restore the Publisher Authenticity confirmation dialog box（英語）」 ダイアログボックスを閉じるには、［Yes（はい）］または［Run（実行）］をクリックしてください。 exit と入力して Enter キーを押してください。 （これにより、MS-DOS セッションが終了します。）