W32.Spybot.Worm - 駆除方法

以下の手順は、Symantec AntiVirus および Norton AntiVirus 製品シリーズを含む、現在サポート対象のすべてのシマンテックウイルス対策製品をご利用のお客様を対象に記述されています。

1. システムの復元機能を無効にします（Windows Me、XP）。
2. ウイルス定義を最新版に更新します。
3. システムの完全スキャンを行って、検出されたファイルをすべて削除します。
4. レジストリへ追加された値を削除します。
5. スタートアップフォルダの 0 バイトファイルを削除します。
6. SharedAccess サービスを再有効化します（Windows 2000、XP のみ）
   

具体的なステップについては、以下の手順を参照してください。

1. システムの復元機能を無効にするには （Windows Me、XP）
Windows Me、XP をご利用の場合は、駆除作業前にシステムの復元機能を一時的に無効にします。システムの復元機能は、破損時のコンピュータファイルを復元する Windows Me、XP の機能の 1 つで、標準設定では有効です。コンピュータが、ウイルス、ワーム、トロイの木馬に感染した場合、システムの復元機能がそのバックアップファイルを (_RESTORE) フォルダに作成する可能性があります。

Windows は、ウイルス対策プログラムを含む外部プログラムによってシステムの復元機能の改変を防止するように設定しています。この理由から、ウイルス対策プログラムおよび駆除ツールによるシステムの復元フォルダの感染ファイルの削除は不可能です。他のあらゆる場所で感染ファイルを削除しても、このシステムの復元機能が感染ファイルを復元する可能性があります。

また、駆除作業の完了後でも、ウイルススキャンがシステムの復元フォルダに脅威を発見する場合があります。

システムの復元機能を無効にする方法については、 Windows のマニュアル、あるいは下記文書のいずれかを参照してください。

• Windows Me のシステムの復元機能を有効/無効にする方法
• Windows XP のシステムの復元機能を有効/無効にする方法

注意: 駆除作業が終了し、脅威の駆除を確認したうえで、上記ドキュメントに記載の手順を実行してシステムの復元機能を有効に戻します。

追加の情報および Windows Me システムの復元機能を無効化する以外の解決方法については、「マイクロソフトサポート技術情報 - 263455 - _RESTORE フォルダにウイルスが発見された場合の対応方法について」を参照してください。

2. ウイルス定義ファイルを更新するには
シマンテックセキュリティレスポンスから提供されるウイルス定義は、すべて品質テストを実施済です。最新版のウイルス定義ファイルは、次の 2 通りの方法で入手できます。

• LiveUpdate を使用して入手する方法: シマンテックの LiveUpdate サーバーにクライアントやサーバーからアクセスし、ウイルス定義ファイルをダウンロードして自動的に更新を行います。LiveUpdate では、最後に LiveUpdate を実行した後に追加、更新された情報のみがダウンロードされます。このため、ダウンロード時のネットワークトラフィックを最小限に抑えることができます。 LiveUpdate のウイルス定義ファイルは、通常は毎週木曜日に定期的に LiveUpdate サーバーにアップロードされます。また、危険度の高いウイルスが発見された場合にも、緊急対応として LiveUpdate サーバーにアップロードされる場合があります。
• Intelligent Updater を使って入手する方法: Intelligent Updater は、シマンテックの Web サイトや FTP サイトで提供されています。ダウンロードしたプログラムの実行で、ご利用のコンピュータのウイルス定義ファイルを最新版に更新可能です。Intelligent Updater 形式のウイルス定義ファイルは、米国時間の平日（日本時間の火曜日～土曜日）に毎日更新します。Intelligent Updater 形式のウイルス定義ファイルは LiveUpdate よりも早いタイミングで更新します。
  
  注意: Intelligent Updater は、ウイルス定義ファイルとスキャンエンジンの完全版をインストールするプログラムです。ファイルサイズは、前回からの差分のみをダウンロードする LiveUpdate と比較して大型です。このために、LiveUpdate で定期的にウイルス定義ファイルを更新し、疑わしいファイルからウイルスを検知しないなどの場合には、Intelligent Updater でのウイルス定義ファイルの更新を推奨します。Intelligent Updater のウイルス定義ファイルは、こちらからダウンロード可能です。 手順の詳細は、「Intelligent Updater を使ってウイルス定義ファイルを更新する方法」を参照してください。

3. 感染ファイルをスキャンして削除するには

1. シマンテックのアンチウイルスプログラムを起動して、すべてのファイルがスキャン対象として設定されているかどうかを確認します。
   • 個人のお客様向け Norton AntiVirus 製品をご利用の場合（パッケージ製品）: 次の文書を参照してください。「すべてのファイルをウイルススキャンするように設定する方法」
   • 企業、法人のお客様向け Symantec AntiVirus 製品をご利用の場合（ライセンス製品）: 次の文書を参照してください。「NAVCE、SAVCE ですべてのファイルがウイルススキャンされるように設定する方法」
2. システムの完全スキャンを実行します。
3. 検出ファイルを書き留めておき、［削除］をクリックします。

重要: ご利用のシマンテックウイルス対策製品が起動しない、または検出ファイルの削除が不可能であると報告するメッセージを表示する場合には、実行中のリスクを停止してから削除する必要がある場合があります。この場合は、コンピュータをセーフモードで再起動してスキャンを実行します。コンピュータをセーフモードで再起動する方法については、「コンピュータをセーフモードで起動する方法」を参照してください。 コンピュータがセーフモードで再起動したら、スキャンを再度実行します。

ファイルの削除後、コンピュータを通常モードで再起動してから次のセクションに進みます。

この時点ではワームの削除が完了していない可能性があるために、再起動時に警告メッセージが表示される可能性があります。このような場合、これらのメッセージを無視して、［OK］ をクリックします。駆除手順の終了後にコンピュータを再起動すると警告メッセージが表示されなくなります。表示される場合は、以下のような警告メッセージです。

タイトル: [ファイルパス]
メッセージ本文: [ファイル名] が見つかりません。名前を正しく入力したかどうかを確認してから、やり直してください。ファイルを検索するには、 [スタート] ボタンをクリックしてから、[検索] をクリックしてください。


4. レジストリから値を削除するには
警告: システムレジストリ変更の際には、事前にバックアップを作成しておくことを強く推奨します。レジストリへの不適切な変更は、データ消失やファイル破損など修復不可能な問題を引き起こす可能性があります。指定されたサブキーのみを修正します。レジストリの編集作業を始める前に必ず「レジストリのバックアップ方法」を参照してください。

1. ［スタート］、［ファイル名を指定して実行］の順にクリックします。
2. regedit と入力して
3. ［OK］をクリックします。
   
   注意: レジストリエディタの開始が不可能な場合には、トロイの木馬がレジストリを改ざんして、レジストリエディタへのアクセスを阻止している可能性があります。 セキュリティレスポンスは、この問題を解決するツールを開発しました。このツールをダウンロードして実行してから、駆除手順を続行します。
   
   
4. ［OK］ をクリックします。
   
   
5. レジストリエディタで、次のサブキーに移動します。
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
   RunOnce
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
   RunServices
   HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
   RunServices
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
   RunOnce
   HKEY_CURRENT_USER\Software\Microsoft\OLE
   
   
6. 画面右側で、検出したファイル名を参照する値をすべて削除します。
   
   
7. サブキーへ移動します。
   
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger
   
   
8. 元の値が分かっている場合は、画面右側で元の値を再設定します。
   
   "Start" = "4"
   
   
9. 次のサブキーへ移動します。
   
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
   
   
10. 元の値が分かっている場合は、画面右側で元の値を再設定します。
    
    "restrictanonymous" = "1"
    
    
11. 次のサブキーへ移動します。
    
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\
    parameters
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\
    parameters
    
    
12. 元の値が分かっている場合は、画面右側で元の値を再設定します。
    
    "AutoShareWks" = "0"
    "AutoShareServer" = "0"
    
    
13. 次のサブキーへ移動します。
    
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
    
    
14. 元の値が分かっている場合は、画面右側で元の値を再設定します。
    
    "DoNotAllowXPSP2" = "1"
    
    
15. 次のサブキーへ移動します。
    
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OLE
    
    
16. 元の値が分かっている場合は、画面右側で元の値を再設定します。
    
    "EnableDCOM" = "N"
    
    
17. 次のサブキーがある場合、移動して削除します。
    
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\BoolTern
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_BOOLTERN
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\rdriv
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_RDRIV
    
    
18. レジストリエディタを終了します。
    

5. スタートアップフォルダから 0 バイトのファイルを削除する
ご利用の Windows のバージョンの手順に従います。

注意: "tftp."で始まるご使用のシステムに、正規のファイルが存在する可能性があります。 スタートアップフォルダから 0 バイトのファイルを削除します。

Windows 95/98/Me/NT/2000 で 0 バイトのファイルを削除するには

1. Windows のタスクバーで、［スタート］、［検索］、［ファイルやフォルダ］の順にクリックします。
2. ［探す場所］が C: に設定されており、［サブフォルダの検索］にチェックマークが入っていることを確認します。
3. ［ファイル名のすべてまたは一部］または［ファイルに含まれる単語または句］ボックスに、次のファイル名を入力するかまたはコピー & ペーストします。
   
   tftp*.*
   
   
4. ［検索］または［検索開始］をクリックします。
5. サイズが 0 バイトで、"スタートアップ"で終わる名前のフォルダ内に含まれるファイルを削除します。

Windows XP で 0 バイトのファイルを削除するには

1. Windows のタスクバーで、［スタート］ 、［検索］の順にクリックします。
2. ［ファイルやフォルダ］をクリックします。
3. ［ファイル名のすべてまたは一部］ボックスに、次のファイルを入力するか、またはコピー & ペーストします。
   
   tftp*.*
   
   
4. ［探す場所］が［ローカルハードドライブ］または C: に設定してあることを確認します。
5. ［詳細設定オプション］をクリックします。
6. ［システムフォルダの検索］にチェックマークを入れます。
7. ［サブフォルダの検索］にチェックマークを入れます。
8. ［検索］をクリックします。
9. サイズが 0 バイトで、"スタートアップ"で終わる名前のフォルダ内に含まれるファイルを削除します。

6. SharedAccess サービスを再有効化します（Windows 2000、XP のみ）
SharedAccess サービスは、インターネット接続共有、Windows ファイアウォールあるいは Windows のインターネット接続ファイアウォールの維持を担当しています。（これらのアプリケーションの存在や名前は、オペレーティングシステムやご利用のサービスパックによって異なります。）これらのプログラムのうちのいずれかを使用中の場合は、コンピュータを保護し、ネットワーク機能を維持するためにこのサービスを再有効化します。


Windows XP Service Pack 2
Windows XP with Service Pack 2 を実行しており、かつ Windows ファイアウォールを使用する場合、SharedAccess サービスが停止したときは、ご利用のファイアウォールのステータスが不明であることを示す警告バルーンを表示することで、オペレーティングシステムがユーザーに警告を発します。Windows ファイアウォールを再有効化するには、次の手順を実行します。

1. ［スタート］、［コントロールパネル］の順にクリックします。
   
   
2. ［セキュリティ センター］をダブルクリックします。
   
   
3. ［セキュリティの重要項目］で［ファイアウォール］が［有効］になっていることを確認します。
   
   注意: ［セキュリティの重要項目］が［有効］に設定されている場合は、Windows の［ファイアウォール］が［有効］になっており、これらのステップを続ける必要はありません。
   
   ［セキュリティの重要項目］で［ファイアウォール］が［有効］になっていない場合は、［推奨される対策案］ボタンをクリックします。
   
   
4. ［推奨される対策案］の下で、［今すぐ有効にする］をクリックします。 Windows のファイアウォールが有効になったことを示すウィンドウを表示します。
   
   
5. ［閉じる］をクリックし、［OK］をクリックします。
   
   
6. ［セキュリティセンター］を閉じます。

Windows 2000 or Windows XP Service Pack 1 or earlier
次の手順を実施して、SharedAccess サービスを再有効化します。

1. ［スタート］、［ファイル名を指定して実行］の順にクリックします。
2. services.msc を入力します。
   
   その後、［OK］ をクリックします。
   
   
3. 次のいずれかを実施します。
   
   • Windows 2000: ［名前］欄の下で、Internet Connection Sharing (ICS) サービスを探し出し、それをダブルクリックします。
   • Windows XP: ［名前］欄の下で、Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS) サービスを探し出し、それをダブルクリックします。
     
     
4. ［スタートアップのタイプ:］の下で、ドロップダウンメニューから［自動］を選択します。
   
   
5. ［サービスの状態］の下の［開始］ボタンをクリックします。
   
   
6. サービスが完了したら、[OK] をクリックします。
   
   
7. ［サービス］ウィンドウを閉じます。

テクニカルノート