Trojan.Vundo - 駆除方法

以下の手順は、Symantec AntiVirus および Norton AntiVirus 製品シリーズを含む、現在サポート対象のすべてのシマンテックウイルス対策製品をご利用のお客様を対象に記述されています。

1. システムの復元機能を無効にします（Windows Me、XP）。
2. ウイルス定義を最新版に更新します。
3. コンピュータをセーフモードまたは VGA モードで再起動します。
4. システムの完全スキャンを実行し、Trojan.Vundo として検出されるすべてのファイルを削除します。
5. レジストリに行われた変更を元に戻します。
   

具体的なステップについては、以下の手順をご覧ください。

1. システムの復元機能を無効にするには （Windows Me、XP）
Windows Me、XP をご利用の場合は、駆除作業前にシステムの復元機能を一時的に無効にします。システムの復元機能は、破損時のコンピュータファイルを復元する Windows Me、XP の機能の 1 つで、標準設定では有効です。コンピュータが、ウイルス、ワーム、トロイの木馬に感染した場合、システムの復元機能がそのバックアップファイルを (_RESTORE) フォルダに作成する可能性があります。

Windows は、ウイルス対策プログラムを含む外部プログラムによってシステムの復元機能の改変を防止するように設定しています。この理由から、ウイルス対策プログラムおよび駆除ツールによるシステムの復元フォルダの感染ファイルの削除は不可能です。他のあらゆる場所で感染ファイルを削除しても、このシステムの復元機能が感染ファイルを復元する可能性があります。

また、駆除作業の完了後でも、ウイルススキャンがシステムの復元フォルダに脅威を発見する場合があります。

システムの復元機能を無効にする方法については、お使いの Windows の文書、または次の文書のうちのいずれかをお読みください。

• 「Windows Me のシステムの復元機能を有効/無効にする方法」
• 「Windows XP のシステムの復元機能を有効/無効にする方法」

注意: 駆除作業が完了し、脅威が駆除されたことを確認した時点で、上記文書に記載の手順を実行して、システムの復元機能を再度有効化します。

システムの復元機能についての詳細と別の無効化方法については、「マイクロソフトサポート技術情報 - 263455 - _RESTORE フォルダにウイルスが発見された場合の対応方法について」を参照してください。

2. ウイルス定義ファイルを更新するには
シマンテックセキュリティレスポンスから提供されるウイルス定義は、すべて品質テストを実施済です。最新版のウイルス定義ファイルは、次の 2 通りの方法で入手可能です。

• LiveUpdate を使用して入手する方法: シマンテックの LiveUpdate サーバーにクライアントやサーバーからアクセスし、ウイルス定義ファイルをダウンロードして自動的に更新を行います。LiveUpdate では、最後に LiveUpdate を実行した後に追加、更新された情報のみがダウンロードされます。このため、ダウンロード時のネットワークトラフィックを最小限に抑えることができます。 LiveUpdate のウイルス定義ファイルは、通常は毎週木曜日に定期的に LiveUpdate サーバーにアップロードされます。また、危険度の高いウイルスが発見された場合にも、緊急対応として LiveUpdate サーバーにアップロードされる場合があります。 この脅威の定義が LiveUpdate で利用可能かどうかを判定するには、Virus Definitions (LiveUpdate) を参照してください。
• Intelligent Updater を使って入手する方法: Intelligent Updater は、シマンテックの Web サイトや FTP サイトで提供されています。ダウンロードしたプログラムの実行で、ご利用のコンピュータのウイルス定義ファイルを最新版に更新可能です。Intelligent Updater 形式のウイルス定義ファイルは、米国時間の平日（日本時間の火曜日～土曜日）に毎日更新します。Intelligent Updater 形式のウイルス定義ファイルは LiveUpdate よりも早いタイミングで更新します。
  
  注意: Intelligent Updater は、ウイルス定義ファイルとスキャンエンジンの完全版をインストールするプログラムです。このため、前回からの差分のみをダウンロードする LiveUpdate に比べると、ダウンロードサイズが非常に大きな容量となります。このため、LiveUpdate で定期的にウイルス定義ファイルの更新を行い、疑わしいファイルからウイルスを検知できない場合などに、Intelligent Updater でウイルス定義ファイルを更新することをお勧めします。Intelligent Updater のウイルス定義ファイルは、こちらからダウンロードすることができます。ダウンロード、インストールする方法に関しては、こちらをご参照ください。

3. コンピュータをセーフモード、または VGA モードで再起動するには

コンピュータをシャットダウンして電源を切ります。最低 30 秒待機し、コマンドプロンプトでセーフモード、または VGA モードでコンピュータを再起動します。

• Windows 95、98、Me、2000、XP をご使用の場合は、コンピュータをセーフモードで再起動してください。コンピュータをセーフモードで再起動する方法については、「コンピュータをセーフモードで起動する方法」をご覧ください。
• Windows NT 4 ユーザーは、コンピュータを VGA モードで再起動します。
  

4. 感染ファイルをスキャンして削除するには

1. シマンテックのアンチウイルスプログラムを起動して、すべてのファイルがスキャン対象として設定されているかどうかを確認します。
   • 個人のお客様向け Norton AntiVirus 製品をお使いの場合: 次の文書をお読みください。「すべてのファイルをウイルススキャンするように設定する方法 」
   • 企業、法人のお客様向け Symantec AntiVirus 製品をお使いの場合（ライセンス製品）: 次の文書をお読みください。「NAVCE、SAVCE ですべてのファイルがウイルススキャンされるように設定する方法.」
2. システムの完全スキャンを実行します。
3. ファイルが Trojan.Vundo に感染したと検出された場合、[削除] をクリックします。

5. レジストリに行われた変更を元へ戻すには


重要: システムレジストリに変更を行う際には、事前にバックアップを作成することを強くお勧めします。 レジストリへの不適切な変更は、データ消失やファイル破損など修復不可能な問題を引き起こす可能性があります。指定されたキーのみを変更します。レジストリの編集作業を始める前に必ず「レジストリのバックアップ方法」をお読みください。

1. ［スタート］、［ファイル名を指定して実行］の順にクリックします。
2. regedit を入力します。
   
   その後、［OK］ をクリックします。
   
   
3. 次のレジストリエントリへ移動して、削除します。
   
   
   • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ATLEvents.ATLEvents\CLSID\"[デフォルト値]" = "{02F96FB7-8AF6-439B-B7BA-2F952F9E4800}"
   • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ATLEvents.ATLEvents.1\CLSID\"[デフォルト値]" = "{02F96FB7-8AF6-439B-B7BA-2F952F9E4800}"
   • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce\"*WinLogon = "[トロイの木馬のフルパスのファイル名] ren time:[ランダムな数]"
   • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\"*[トロイの木馬のファイル名]" = "[トロイの木馬のフルパスのファイル名] rerun"
   • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"*[トロイの木馬のファイル名]" = "[トロイの木馬のフルパスのファイル名]"
   
   
4. 次のレジストリサブキーへ移動して、削除します。
   
   
   • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\ActiveState
   • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{02F96FB7-8AF6-439B-B7BA-2F952F9E4800}
   • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02F96FB7-8AF6-439B-B7BA-2F952F9E4800}
   • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2353FCBC-012D-487B-8BF3-865C0929FBEB}
   • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ATLDistrib.ATLDistrib\CLSID\
   • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ATLDistrib.ATLDistrib.1\CLSID\
   • HKEY_USERS\S-1-5-21-2068663838-1736639611-1443527720-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2353FCBC-012D-487B-8BF3-865C0929FBEB}
   • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{22E85F2A-4A67-4835-B2C3-C575FE4EC322}
   • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ADOUsefulNet.ADOUsefulNet
   • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ADOUsefulNet.ADOUsefulNet.1
   • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{22E85F2A-4A67-4835-B2C3-C575FE4EC322}
   • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DE8BDE42-16D9-4CCC-9F4F-1C3167B82F60}
   • HKEY_CLASSES_ROOT\CLSID\{DE8BDE42-16D9-4CCC-9F4F-1C3167B82F60}
   • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DPCUpdater.DPCUpdater
   • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DPCUpdater.DPCUpdater.1
   
   
5. レジストリ エディタを終了します。
   
   
6. コンピュータを通常モードで再起動します。 手順については、次の文書内の通常モードへ戻る際のセクションをお読みください。「コンピュータをセーフモードで起動する方法」

テクニカルノート