発見日: 2004 年 6 月 2 日
更新日: 2007 年 2 月 13 日 11:36:01 AM
種別: アンインストール情報
Symantec Security Response は、次の Korgo ワームの亜種の感染を除去する駆除ツールを開発しました。
このツールが行うこと
W32.Korgo 駆除ツールは、次のことを行います。
- W32.Korgo のウイルスプロセスを終了させます。
- W32.Korgo ファイルを削除します。
- ワームが追加したレジストリ値を削除します。
このツールで利用可能なコマンドラインスイッチ
スイッチ |
説明 |
/HELP, /H, /? |
ヘルプメッセージを表示します。 |
/NOFIXREG |
レジストリの復元を無効にします (このスイッチの使用は推奨されません) |
/SILENT, /S |
サイレントモードを有効にします。 |
/LOG=[パス名] |
ログファイルを作成します。[パス名] は、ツールの出力を保存するロケーションです。デフォルトでは、このスイッチは、ログファイル FixKorgo.log をこの駆除ツールの実行元と同じフォルダ内に作成します。 |
/MAPPED |
マップされたネットワークドライブをスキャンします (このスイッチの使用は推奨されません。以下の「注意」を参照してください) |
/START |
ツールがスキャンを即時に実行するように強制します。 |
/EXCLUDE=[パス] |
指定された [パス] をスキャンから除外します。(このスイッチの使用は推奨されません。以下の「注意」を参照してください) |
/NOFILESCAN |
ファイルシステムのスキャンを防ぎます |
注意: /MAPPED スイッチを使用すると、リモートコンピューター上のウイルスを完全に駆除できる確証がなくなります。理由は次のとおりです。
- マップされたドライブのスキャンは、マップされたフォルダのみをスキャンします。これにはリモートコンピューター上のすべてのフォルダが含まれない可能性があり、検出されなくなる可能性があります。
- マップされたドライブ上でウイルスファイルが検出される場合、リモートコンピューター上のプログラムがこのファイルを使用すると、駆除は失敗します。
そのため、このツールをすべてのコンピューター上で実行する必要があります。
/EXCLUDE スイッチは、1 つのパスでのみ機能し、複数のパスでは機能しません。別の方法としては、AntiVirus でのマニュアルのスキャン後の /NOFILESCAN スイッチがあります。これは、ツールでのレジストリの変更を可能にします。
その後、最新のウイルス定義を使用して AntiVirus でコンピューターをスキャンします。これらのステップを行うことによって、ファイルシステムから感染を除去できるはずです。
次に、単一のドライブの除外に使用できるコマンドラインの例を示します。
>"C:\Documents and Settings\user1\Desktop\FixKorgo.exe" /EXCLUDE=M:\ /LOG=c:\FixKorgo.txt
次のコマンドラインでは、ファイルシステムのスキャンはスキップしますが、レジストリの改変は修復します。その後、妥当な除外を用いてシステムの通常のスキャンを実行します。
> "C:\Documents and Settings\user1\Desktop\FixKorgo.exe" /NOFILESCAN /LOG=c:\FixKorgo.txt
注意:
- 不等号 (>) の部分はパスに含まれません。
- ログファイルの名前は、任意に指定することが可能です。上記に記載のファイル名は、この例の説明目的で使用されているだけです。
ツールの入手と実行
注意: Windows NT 4.0、Windows 2000、Windows XP 上でこのツールを実行する場合は、管理者権限を持っている必要があります。
警告: ネットワーク管理者へ: MS Exchange 2000 Server を実行している場合は、コマンドラインから Exclude スイッチを使用してツールを実行することによって、M ドライブをスキャンから除外することを推奨します。
詳細にいては、マイクロソフト サポート技術情報 - 298924 "Exchange 2000 のドライブ M をバックアップまたはスキャンを行うと問題が発生する" をご参照ください。
- 次のサイトから FixKorgo.exe ファイルをダウンロードします。 http://securityresponse.symantec.com/avcenter/FixKorgo.exe.
- このファイルを Windows デスクトップのダウンロードフォルダなどの便利な場所に (または、感染していないことが分かっているリムーバブルメディアに) 保存します。
- デジタル署名の正当性をチェックするには、この文書で後述する「デジタル署名」のセクションを参照してください。
- このツールを実行する前に、実行中のすべてのプログラムを閉じます。
- ネットワーク上にある場合、またはインターネットへの常時接続を行っている場合は、コンピューターをネットワークおよびインターネットから接続切断してください。
- Windows Me または XP を実行している場合は、システムの復元オプションを無効にしてください。詳細については、後述の「システムの復元オプション (Windows Me/XP)」を参照してください。
注意: Windows Me/XP を実行している場合は、このステップを省略しないことを強くお薦めします。
- 次のいずれかを行います。
- Windows NT/2000/XP を実行している場合は、ステップ 8 は省略してください。
- Windows 95/98/Me を実行している場合は、コンピューターをセーフモードで再起動します。コンピュータをセーフモードで再起動する方法については、" コンピュータをセーフモードで起動する方法" をご覧ください。
- FixKorgo.exe ファイルをダブルクリックして、駆除ツールを起動します。
- [スタート] をクリックしてプロセスを開始し、ツールを実行させておきます。
- コンピュータを再起動します。
- システムから感染を除去したことを確認するために、駆除ツールを再度実行します。
- Windows Me/XP をご使用の場合は、この時点でシステム復元機能をオンに戻します。
- LiveUpdate を実行して、最新のウイルス定義を使用していることを確認してください。
注意: Windows では外部プログラムがシステムの復元を変更することを防ぐようになっているため、Windows Me/XP のシステムの復元オプションが無効になっていない場合、この駆除手順が成功しない可能性があります。
ツールの実行が終了すると、ご使用のコンピュータが W32.Korgo に感染していたかどうかを示すメッセージが表示されます。ワームの駆除の場合は、プログラムにより次の結果が表示されます。
- Total number of scanned files (スキャンしたファイルの合計数)
- Number of deleted files (削除したファイルの数)
- Number of terminated viral processes (終了させたウイルスプロセスの数)
- Number of fixed registry entries (修復したレジストリエントリの数)
デジタル署名
FixKorgo.exe はデジタル署名されています。シマンテックでは、ユーザーが Symantec Security Response の Web サイトから直接ダウンロードした FixKorgo.exe のコピーのみを使用することを推奨します。デジタル署名の正当性をチェックするには、次のステップを行ってください。
- http://www.wmsoftware.com/free.htm へアクセスします。
- chktrust.exe ファイルをダウンロードして、FixKorgo.exe を保存したフォルダとと同じフォルダ内に保存します (例: C:\Downloads)。
- ご使用のオペレーティングシステムによって、次のいずれかを行います。
- [スタート] をクリックし、[プログラム] をポイントして [MS-DOS プロンプト] をクリックします。
- [スタート] をクリックし、[プログラム] をポイントして [アクセサリ] をクリックし、次に [コマンドプロンプト] をクリックします。
- FixKorgo.exe および Chktrust.exe が保存されているフォルダへ移動し、次のように入力します。 chktrust -i FixKorgo.exe.
例えば、ファイルを C:\Downloads フォルダへ保存している場合は、次のコマンドを入力します。
cd\
cd downloads
chktrust -i FixKorgo.exe
各コマンドの入力後に、[Enter] キーを押します。デジタル署名が有効である場合は、次のメッセージが表示されます。
"W32.Korgo 駆除ツール" は、 2004 年 7 月 31 日 4:26 に署名されて Symantec Corporation から配布されています。インストールして実行しますか ?
注意:
- ご使用のコンピューターが太平洋時間帯に設定されていない場合は、このダイアログボックスに表示される日付と時刻はユーザーのタイムゾーンに調節されます。
- サマータイムを使用している場合は、表示される時刻は 1 時間ちょうど早くなります。
- このダイアログボックスが表示されない場合は、2 つの理由が考えられます。
- [はい] をクリックして、ダイアログボックスを閉じます。
- Exit と入力し、[Enter] を押します。(これにより、MS-DOS セッションが終了します)
システムの復元オプション (Windows Me/XP)
Windows Me および XP ユーザーは、システムの復元オプションを一時的にオフにする必要があります。システムの復元機能は、Windows Me/XP の機能の一つで、標準では有効に設定されています。コンピュータがウイルス、ワーム、またはトロイの木馬に感染した場合、ウイルス、ワーム、またはトロイの木馬のバックアップファイルが _RESTORE フォルダ内に作成されている可能性があります。
Windows は、ウイルス対策プログラムのような外部プログラムによるシステムの復元機能の改変を防止するように設定されています。この理由により、ウイルス対策プログラムおよび駆除ツールでは _RESTORE フォルダ内に保存されている感染ファイルを削除することはできません。その結果、他のあらゆる場所から感染ファイルを削除した後でも、感染したファイルが誤って復元される可能性があります。
また、ウイルス対策プログラムでコンピュータをスキャンしたときに感染ファイルが検出されなかった場合でも、オンラインスキャンの実行時に _RESTORE フォルダ内の脅威が検出されることがあります。
システムの復元機能を無効にする方法については、Windows のマニュアルか、あるいは下記のドキュメントをご覧ください。
追加の情報、および Windows Me のシステム復元オプションを無効にするための別の方法については、"Microsoft Knowledge Base article : _RESTORE フォルダにウィルスが発見された場合の対応方法について (Q263455)"" を参照してください。
Hatena
Yahoo
Livedoor
Buzzurl
Delicious
FC2
Google
Newsvine
newsing
Digg