発見日: 2003 年 6 月 4 日
更新日: 2007 年 2 月 13 日 11:35:04 AM
種別: アンインストール情報
Symantec Security Response は、Bat.Mumu.A.Worm の感染を駆除する駆除ツールを開発しました。
このツールが行うこと
Bat.Mumu.A.Worm の駆除ツールは、次のことを行います。
- Bat.Mumu.A.Worm のウイルスプロセスを終了させます。
- Bat.Mumu.A.Worm のファイルを削除します。
- 投下されたファイルを削除します。
- "アプリケーション" サービスを停止し、削除します。
- admin アカウントを無効にします。
このツールで使用可能なコマンドラインのスイッチ
スイッチ |
説明 |
/HELP, /H, /? |
ヘルプメッセージを表示します。 |
/NOFIXREG |
レジストリの修復を無効にします。(このスイッチの使用は推奨されません。) |
/SILENT, /S |
サイレントモードを有効にします。 |
/LOG=[パス名] |
ログファイルを作成します。[パス名] は、ツールの出力を保存するロケーションです。デフォルトでは、このスイッチは、ログファイル FixMumu.log をこの駆除ツールの実行元と同じフォルダ内に作成します。 |
/MAPPED |
マップされたネットワークドライブをスキャンします。(このスイッチの使用は推奨されません。次の「注意」を参照してください。) |
/START |
ツールがスキャンを即時に実行するように強制します。 |
/EXCLUDE=[パス] |
指定された [パス] をスキャンから除外します。(このスイッチの使用は推奨されません。) |
注意:/MAPPED スイッチを使用すると、リモートコンピューター上のウイルスを完全に駆除できる確証がなくなります。理由は次のとおりです。
- マップされたドライブのスキャンでは、マップされたフォルダのみをスキャンします。これにはリモートコンピューター上のすべてのフォルダが含まれない可能性があり、検出されなくなる可能性があります。
- マップされたドライブ上でウイルスファイルが検出される場合、リモートコンピューター上のプログラムがこのファイルを使用すると、駆除は失敗します。
そのため、このツールをすべてのコンピューター上で実行する必要があります。
ツールの入手と実行
注意: Windows NT 4.0、Windows 2000、Windows XP 上でこのツールを実行する場合は、管理者権限を持っている必要があります。
- 次のサイトから FixMumu.exe ファイルをダウンロードします。
http://securityresponse.symantec.com/avcenter/FixMumu.exe
- このファイルを Windows デスクトップのダウンロードフォルダなどの便利な場所に (または、可能であれば、感染していないことが分かっているリムーバブルメディアに) 保存します。
- デジタル署名の正当性をチェックするには、この文書で後述する「デジタル署名」のセクションを参照してください。
- このツールを実行する前に、実行中のすべてのプログラムを閉じます。
- ネットワーク上にある場合、またはインターネットへの常時接続を行っている場合は、コンピューターをネットワークおよびインターネットから接続切断してください。
- Windows Me または XP を実行している場合は、システムの復元オプションを無効にしてください。詳細については、「システムの復元オプション (Windows Me/XP)」を参照してください。
注意: Windows Me/XP を実行している場合は、このステップを省略しないことを強くお薦めします。Windows では外部プログラムがシステムの復元を変更することを防ぐようになっているため、Windows Me/XP のシステムの復元オプションが無効になっていない場合、この駆除手順が成功しない可能性があります。
- FixMumu.exe ファイルをダブルクリックして、駆除ツールを起動します。
- [スタート] をクリックしてプロセスを開始し、ツールを実行させておきます。
注意:ツールの実行時に、このツールで 1 つまたは複数のファイルを駆除できなかったというメッセージが表示された場合は、このツールをセーフモードで実行してください。コンピュータをシャットダウンして電源を落とし、30 秒間待ちます。コンピューターをセーフモードで再起動し、その後このツールを再度実行してください。Windows 32 ビットオペレーティングシステム (Windows NT を除く)では、セーフモードで再起動が行えます。コンピュータをセーフモードで再起動する方法については、"コンピュータをセーフモードで起動する方法" をご覧ください。
- コンピュータを再起動します。
- システムから感染を除去したことを確認するために、駆除ツールを再度実行します。
- Windows Me/XP をご使用の場合は、この時点でシステム復元機能をオンに戻します。
- LiveUpdate を実行して、最新のウイルス定義を使用していることを確認してください。
ツールの実行が終了すると、ご使用のコンピュータが Bat.Mumu.A.Worm に感染していたかどうかを示すメッセージが表示されます。ワームの駆除の場合は、プログラムにより次の結果が表示されます。
- Total number of scanned files (スキャンしたファイルの合計数)
- Number of deleted files (削除したファイルの数)
- Number of terminated viral processes (終了させたウイルスプロセスの数)
- Number of deleted viral services (削除したウイルスサービスの数)
- Whether the admin account was disabled. (admin アカウントが無効になっていたかどうか)
デジタル署名
FixMumu.exe はデジタル署名されています。シマンテックでは、ユーザーが Symantec Security Response の Web サイトから直接ダウンロードした FixMumu.exe のコピーのみを使用することを推奨します。デジタル署名の正当性をチェックするには、次のステップを行ってください。
- http://www.wmsoftware.com/free.htm へアクセスします。
- Chktrust.exe ファイルをダウンロードして、FixMumu.exe を保存したフォルダとと同じフォルダ内に保存します (例: C:\Downloads)。
- ご使用のオペレーティングシステムによって、次のいずれかを行います。
- [スタート] をクリックし、[プログラム] をポイントして [MS-DOS プロンプト] をクリックします。
- [スタート] をクリックし、[プログラム] をポイントして [アクセサリ] をクリックし、次に [コマンドプロンプト] をクリックします。
- FixMumu.exe および Chktrust.exe が保存されているフォルダへ移動し、次のように入力します。
chktrust -i FixMumu.exe
例えば、ファイルを C:\Downloads フォルダへ保存している場合は、次のコマンドを入力します。
cd\
cd downloads
chktrust -i FixMumu.exe
各コマンドの入力後に、[Enter] キーを押します。デジタル署名が有効である場合は、次のメッセージが表示されます。
"Bat.Mumu.A.Worm 駆除ツール" は、2003 年 6 月 19 日 9:29 AM に署名されて Symantec Corporation から配布されています。インストールして実行しますか ?
注意:
- ご使用のコンピューターが太平洋時間帯に設定されていない場合は、このダイアログボックスに表示される日付と時刻はユーザーのタイムゾーンに調節されます。
- サマータイムを使用している場合は、表示される時刻は 1 時間ちょうど早くなります。
- このダイアログボックスが表示されない場合は、2 つの理由が考えられます。
- [はい] をクリックして、ダイアログボックスを閉じます。
- Exit と入力し、[Enter] を押します。これにより、MS-DOS セッションが終了します。
システムの復元オプション (Windows Me/XP)
Windows Me および XP ユーザーは、システムの復元オプションを一時的にオフにする必要があります。システムの復元機能は、Windows Me/XP の機能の一つで、標準では有効に設定されています。コンピュータがウイルス、ワーム、またはトロイの木馬に感染した場合、ウイルス、ワーム、またはトロイの木馬のバックアップファイルが _RESTORE フォルダ内に作成されている可能性があります。
Windows は、ウイルス対策プログラムのような外部プログラムによるシステムの復元機能の改変を防止するように設定されています。この理由により、ウイルス対策プログラムおよび駆除ツールでは _RESTORE フォルダ内に保存されている感染ファイルを削除することはできません。その結果、他のあらゆる場所から感染ファイルを削除した後でも、感染したファイルが誤って復元される可能性があります。
また、場合によっては、アンチウイルスプログラムでユーザーのコンピューターをスキャンして感染ファイルが何も見付からなかった場合であっても、オンラインスキャナーが System Restore フォルダ内で脅威を検出することもあります。
システムの復元機能を無効にする方法については、Windows のマニュアルか、あるいは下記のドキュメントをご覧ください。
システムの復元機能についての詳細および別の無効化方法については、"マイクロソフト サポート技術情報 - 263455 - _RESTORE フォルダにウイルスが発見された場合の対応方法について" をご覧ください。
フロッピーディスクからツールを実行する方法
- FixMumu.exe ファイルを含むフロッピーディスクを、フロッピーディスクドライブへ挿入します。
- [スタート] ボタンを押し、[ファイル名を指定して実行] をクリックします。
- 次のように入力します。
a:\FixMumu.exe
その後、[OK] をクリックします。
注意:
- a:\FixMumu.exe コマンド内にはスペースは入れません。
- Windows Me を使用しておりシステムの復元オプションを有効にしたままである場合は、警告メッセージが表示されます。システムの復元オプションを有効にしてこの駆除ツールを実行するか、またはこの駆除ツールを終了するかのどちらかを選択できます。
- [スタート] をクリックしてプロセスを開始し、ツールを実行させておきます。
- Windows Me を使用している場合は、この時点でシステム復元機能をオンに戻します。
Hatena
Yahoo
Livedoor
Buzzurl
Delicious
FC2
Google
Newsvine
newsing
Digg