Trojan.Zlob - 駆除方法

次の手順の記述対象は、Symantec AntiVirus および Norton AntiVirus 製品シリーズを含む、現在サポート対象のすべてのシマンテックウイルス対策製品です。

1. システムの復元機能を無効化します（Windows Me、XP）。
2. ウイルス定義を最新版に更新します。
3. システムの完全スキャンを実行します。
4. この脅威がレジストリに追加した値を削除します。

具体的な手順については、以下の手順を参照してください。

1. システムの復元機能を無効化するには （Windows Me、XP）
Windows Me、XP をご利用の場合は、駆除作業前にシステムの復元オプションを一時的に無効化します。システムの復元機能は、破損時のコンピュータファイルを (自動的に) 復元する Windows Me、XP の機能の 1 つで、標準設定では有効です。ウイルス、またはワーム、またはトロイの木馬の感染中に、このシステムの復元機能がこれらの脅威のバックアップファイルを、復旧フォルダ(_RESTORE)に作成する可能性があります。

Windows は、ウイルス対策プログラムを含む外部プログラムによる、システムの復元機能の改変を防止するように設定されています。この理由から、ウイルス対策プログラムおよび駆除ツールによる、復旧フォルダの感染ファイル削除は不可能です。他のあらゆる場所で感染ファイルを削除しても、このシステムの復元機能が感染ファイルを復元する可能性があります。

また、ウイルス対策プログラムが、コンピュータのスキャン時に感染ファイルを検出しない場合でも、オンラインのスキャン時には復旧フォルダ (_RESTORE) の脅威を検出する場合があります。

システムの復元機能を無効にする方法については、お手持ちの「Windows のマニュアル」、または下記文書を参照してください。

• 「Windows Me のシステムの復元機能を有効/無効にする方法」
• 「Windows XP のシステムの復元機能を有効/無効にする方法」

注意: 駆除作業が終了し、脅威の駆除を確認したうえで、上記ドキュメントに記載の手順を実行してシステムの復元機能を有効に戻します。

システムの復元機能についての詳細と別の無効化方法については、「マイクロソフトサポート技術情報 - 263455 - _RESTORE フォルダにウイルスが発見された場合の対応方法について」を参照してください。

2. ウイルス定義ファイルを更新するには
シマンテックセキュリティレスポンスが発表するウイルス定義は、品質テストを実施済です。最新版のウイルス定義ファイルは、次の 2 通りの方法で入手可能です。

• LiveUpdate を利用して入手するには:
  
  Norton AntiVirus 2006、Symantec AntiVirus Corporate Edition 10.0 以上の製品をご利用の場合、LiveUpdate の定義は毎日更新です。これらの製品は、より新しいテクノロジーを搭載しています。
  
  Norton AntiVirus 2005、Symantec AntiVirus Corporate Edition 9.0 またはそれ以前の製品をご利用の場合、LiveUpdate の定義は毎週更新です。メジャーなウイルスの流行時は例外で、定義の更新はより頻繁です。
  
  
  
• Intelligent Updater を使って入手するには Intelligent Updater は、シマンテックの Web サイトや FTP サイトで入手可能です。ダウンロードしたプログラムの実行で、ご利用のコンピュータのウイルス定義ファイルを最新版に更新可能です。Intelligent Updater 形式の最新版のウイルス定義ファイルを、米国時間の平日（日本時間の火曜日～土曜日）に毎日配布しています。Intelligent Updater 形式のウイルス定義ファイルは LiveUpdate よりも早いタイミングで配布を開始しますが、ベータリリースという位置付けではなく、配布前に品質保証テスト済です。

注意: Intelligent Updater は、ウイルス定義ファイルとスキャンエンジンの完全版をインストールするプログラムです。ファイルサイズは、前回からの差分のみをダウンロードする LiveUpdate と比較して大型です。このために、LiveUpdate で定期的にウイルス定義ファイルを更新し、疑わしいファイルからウイルスを検知しないなどの場合には、Intelligent Updater でのウイルス定義ファイルの更新を推奨します。Intelligent Updater のウイルス定義ファイルは、こちらからダウンロード可能です。 手順の詳細は、「Intelligent Updater を使ってウイルス定義ファイルを更新する方法」を参照してください。

3. 感染ファイルを探して削除するには

1. シマンテックのウイルス対策ソフトウェアを起動して、すべてのファイルをスキャン対象に設定しているかどうかを確認します。
   
   個人のお客様向け Norton AntiVirus 製品をご利用の場合（パッケージ製品）: 次の文書を参照してください。「すべてのファイルをウイルススキャンするように設定する方法」
   
   企業、法人のお客様向け Symantec AntiVirus 製品をご利用の場合（ライセンス製品）: 次の文書を参照してください。「NAVCE、SAVCE ですべてのファイルがウイルススキャンされるように設定する方法」
   
   
   
2. システムの完全スキャンを実行します。
3. 何らかのファイルを検出する場合は、ご利用のウイルス対策プログラムが表示する手順に従います。

重要: ご利用のシマンテックウイルス対策製品が起動しない、または検出ファイルの削除が不可能であると報告するメッセージを表示する場合には、実行中であるこのリスクを停止してから削除する必要があります。この場合は、コンピュータをセーフモードで再起動してスキャンを実行します。コンピュータをセーフモードで再起動する方法については、「コンピュータをセーフモードで起動する方法」を参照してください。 コンピュータがセーフモードで再起動したら、スキャンを再度実行します。
(ファイルの削除後、コンピュータを通常モードで再起動してから、次のセクションに進みます。)

この時点でワームの削除が完了していない可能性があるために、再起動時にコンピュータが警告メッセージを表示する可能性があります。これらのメッセージは無視して、［OK］ をクリックします。駆除手順の終了後の再起動時には、警告メッセージを表示しません。表示する警告メッセージは、次のような内容です。

タイトル: [ファイルパス]
メッセージ本文: Windows cannot find [ファイル名]. Make sure you typed the name correctly, and then try again. To search for a file, click the Start button, and then click Search.

4. レジストリから値を削除するには
警告: システムレジストリ変更の際には、事前のバックアップ作成を強く推奨します。レジストリへの不適切な変更は、データ消失やファイル破損など修復不可能な問題を引き起こす可能性があります。指定されたキーのみを修正するよう注意します。レジストリ編集作業の開始前に、必ず「レジストリのバックアップ方法」を参照してください。

1. ［Start（スタート）］、［Run （ファイル名を指定して実行）］の順にクリックします。
2. regedit
3. と入力し、［OK］をクリックします。
   
   注意: レジストリエディタが開かない場合、この脅威がレジストリを改ざんして、レジストリエディタへのアクセスを阻止している可能性があります。セキュリティレスポンスは、この問題を解決するツールを開発しました。このツールをダウンロードして実行してから、駆除手順を続行します。
   
   
4. 次のレジストリエントリへ移動して、削除します。
   
   
   • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\"uuid" = "86c29b2f-3389-418b-9b47-c2b09b6abc07"
   • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"MSN Messenger" = "%System%\msmsgs.exe"
   • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run\"wininet.dll" = "regperf.exe"
   • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\"notepad.exe" = "msmsgs.exe"
   
   
5. 必要な場合は、次のレジストリエントリを以前の値へ復元します。
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "Explorer.exe, msmsgs.exe"
   
   
   
   
6. レジストリ エディタを終了します。
   
   注意: このリスクが HKEY_CURRENT_USER 下のレジストリサブキーを作成済または改ざん済の場合は、侵入先のコンピュータの各ユーザーについてそれらを作成した可能性があります。すべてのレジストリサブキーまたはエントリの削除または復元を確認するには、各ユーザーアカウントを使ってログオンし、上記にリストしたすべての HKEY_CURRENT_USER 項目をチェックします。
   

テクニカルノート