W32.Antinny.K - 駆除方法

以下の手順は、Symantec AntiVirus および Norton AntiVirus 製品シリーズも含め、現在サポート対象となっているすべてのシマンテックアンチウイルス製品のお客様を対象にして記述されています。

1. システムの復元機能を無効にします（Windows Me/XP）。
2. ウイルス定義を最新版に更新します。
3. システム全体のスキャンを実行します。
4. レジストリに追加された値を削除します。
5. win.ini ファイルを編集します。

具体的な手順については、以下のセクションをご覧ください。

1. システムの復元オプションを無効にする（Windows Me/XP）
Windows Me/XP をお使いの場合は、駆除作業を行う前にシステムの復元オプションを一時的に無効にしてください。 システムの復元機能は、Windows Me/XP の機能の一つで、標準では有効に設定されています。この機能は、Windows がコンピュータ上のファイルが破損した場合にそれらを自動的に復元するために使用されます。 コンピュータがウイルス、ワーム、またはトロイの木馬に感染した場合、ウイルス、ワーム、またはトロイの木馬のバックアップファイルが _RESTORE フォルダ内に作成されている可能性があります。

Windows は、ウイルス対策プログラムのような外部プログラムによるシステムの復元機能の改変を防止するように設定されています。 この理由により、ウイルス対策プログラムおよび駆除ツールでは _RESTORE フォルダ内に保存されている感染ファイルを削除することはできません。その結果、他のあらゆる場所から感染ファイルを削除した後でも、感染したファイルが誤って復元される可能性があります。

また、ウイルス対策プログラムでコンピュータをスキャンしたときに感染ファイルが検出されなかった場合でも、オンラインスキャンの実行時に _RESTORE フォルダ内の脅威が検出されることがあります。

システムの復元機能を無効にする方法については、Windows のマニュアルか、あるいは下記の文書のいずれかをご覧ください。

• Windows Me のシステムの復元機能を有効/無効にする方法
• Windows XP のシステムの復元機能を有効/無効にする方法

注意: 駆除作業が完全に終わり、脅威が駆除されたことを確認した時点で、上記のドキュメントに記載の手順を実行することでシステムの復元機能を有効な状態に戻してください。

システムの復元機能についての詳細および別の無効化方法については、「マイクロソフト サポート技術情報 - 263455 - _RESTORE フォルダにウィルスが発見された場合の対応方法について」を参照してください。

2. ウイルス定義ファイルを更新する
ウイルス定義ファイルを最新版に更新します。 最新版のウイルス定義ファイルは、次の 2 通りの方法で入手できます。

• LiveUpdate を使用して入手する方法:
  
  Norton AntiVirus 2006、Symantec AntiVirus Corporate Edition 10.0 以上をご使用の場合は、LiveUpdate の定義は毎日更新されます。これらの製品には、より新しいテクノロジーが含まれています。
  
  Norton AntiVirus 2005、Symantec AntiVirus Corporate Edition 9.0 またはそれ以前の製品をご使用の場合は、LiveUpdate の定義は 1 週間ごとに更新されます。 メジャーなウイルスが流行した場合は例外で、定義はより頻繁に更新されます。
  
  
  
• Intelligent Updater を使用して入手する方法: Intelligent Updater は、シマンテックの Web サイトや FTP サイトで提供されています。ダウンロードしたプログラムを実行することで、そのコンピュータ上のウイルス定義ファイルを最新版に更新することができます。Intelligent Updater 形式のウイルス定義ファイルは、米国時間の平日（日本時間の火曜日～土曜日）に毎日アップロードされます。Intelligent Updater 形式のウイルス定義ファイルは LiveUpdate よりも早いタイミングでアップロードされますが、ベータリリースという位置付けではなく、アップロード前に完全な品質保証テストが行われています。

注意: Intelligent Updater は、ウイルス定義ファイルとスキャンエンジンの完全版をインストールするプログラムです。このため、前回からの差分のみをダウンロードする LiveUpdate に比べると、ダウンロードサイズが非常に大きな容量となります。このため、LiveUpdate で定期的にウイルス定義ファイルの更新を行い、疑わしいファイルからウイルスを検知できない場合などに、Intelligent Updater でウイルス定義ファイルを更新することをお薦めします。Intelligent Updater のウイルス定義ファイルは、こちらからダウンロードすることができます。ダウンロード、インストールする方法に関しては、こちらをご参照ください。

3. 感染ファイルを探して削除する

1. シマンテックのウイルス対策ソフトを起動して、すべてのファイルがスキャン対象として設定されているか確認します。
   
   個人のお客様向け Norton AntiVirus 製品をお使いの場合（パッケージ製品）: 次の文書をお読みください。「すべてのファイルをウイルススキャンするように設定する方法」
   
   法人のお客様向け Symantec AntiVirus 製品をお使いの場合（ライセンス製品）: 次の文書をお読みください。「NAVCE、SAVCE ですべてのファイルがウイルススキャンされるように設定する方法」
   
   
   
2. システム全体のスキャンを実行します。
3. 何らかのファイルが検出された場合は、ご使用のアンチウイルスプログラムによって表示される手順に従ってください。

重要: Norton AntiVirus が感染ファイルを削除できないというメッセージが表示された場合、そのファイルは Windows で使用中の可能性があります。 このような場合には、コンピュータをセーフモードで再起動した後でスキャンを実行する必要があります。 コンピュータをセーフモードで再起動する方法については、「コンピュータをセーフモードで起動する方法」をご覧ください。コンピュータがセーフモードで再起動したら、スキャンを再度実行してください。
ファイルの削除後、コンピュータを通常モードで再起動してから次のセクションに進んでください。

この時点でワームが完全に削除されていないと、コンピュータの再起動時に警告メッセージが表示される可能性があります。これらのメッセージは無視して、[OK] をクリックしてください。駆除手順の終了後は、コンピュータの再起動時に警告メッセージが表示されることはありません。警告メッセージは、次の内容に類似している可能性があります。

タイトル: [ファイルパス]
本文: Windows cannot find [ファイル名]. Make sure you typed the name correctly, and then try again. To search for a file, click the Start button, and then click Search.

4. レジストリから値を削除する
重要: システムレジストリに変更を行う際には、事前にバックアップを作成することを強くお勧めします。 レジストリに不適切な変更を行うと、データの喪失やファイルの破損など修復不可能な問題が生じる可能性があります。 指定されたキーのみを修正するよう注意してください。 レジストリの編集作業を始める前に必ず 「レジストリのバックアップ方法」をお読みください。

1. スタートメニューで［Run（ファイル名を指定して実行）］ をクリックします。
2. regedit と入力します。
3. [OK] をクリックします。
   
   注意: レジストリエディタを開けない場合、トロイの木馬がレジストリを改ざんして、レジストリエディタへのアクセスを阻止している可能性があります。 Security Response はこの問題を解決するツールを開発しました。このツールをダウンロードして実行してから、駆除手順を続行してください。
4. 次のエントリへ移動して、削除します。
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"[ランダムな名前]" = "[ワームへのパス] /startup"
   
   
   
5. レジストリエディタを終了します。
   
   

5. win.ini ファイルを編集する
Windows 95/98/Me をご使用の場合、以下の手順に従ってください。

1. スタートメニューで［Run（ファイル名を指定して実行）］ をクリックします。
   
   
2. 次のように入力します。
   
   edit c:\windows\win.ini
   
   その後、［OK］をクリックします。
   
   （MS-DOS エディタが開きます。）
   
   注意: Windows が異なるロケーションにインストールされている場合は、パスを適宜置き換えてください。
   
   
3. ファイルの [hoge] セクション内で、次に類似したテキストを探します。
   
   [hoge]
   hugo=[WINNY プログラムへのパス]
   
   
4. このテキストが存在する場合は、それを削除します。
   
   
5. ［File（ファイル）］、［Save（保存）］ の順にクリックします。
   
   
6. ［File（ファイル）］、［Exit（終了）］の順にクリックします。

テクニカルノート