ビジネスストア

Symantec.com > 企業・法人向け > セキュリティレスポンス > W32.Zotob Removal Tool
印刷

W32.Zotob Removal Tool

発見日:
2005 年 8 月 15 日
更新日:
2007 年 2 月 13 日 11:36:42 AM
種別:
Removal Information

Symantec Security Response は次の脅威の感染を除去する駆除ツールを開発しました。

警告:
  • ネットワークに接続して作業している場合、あるいは DSLやケーブルモデム等を使ってインターネットに常時接続している場合、コンピュータのネットワーク接続またはインターネット接続を遮断してください。その後、コンピュータをネットワークまたはインターネットに再接続する前に、有効になっていたファイル共有を無効にするか、あるいはパスワードを設定してください。もしくは共有ファイルを読み取り専用に設定してください。このワームはネットワーク接続しているコンピュータ上で共有されているフォルダを使って感染するため、ワームの駆除の終了後、ワームが再感染するのを防ぐために、共有フォルダへのアクセスは読み取り専用のみに限定するか、あるいはパスワードを設定しておくことをお勧めします。

    具体的な設定手順については、Windowsのマニュアルあるいはドキュメント"    共有フォルダをネットワーク上のウイルスから保護する方法"をご覧ください。
  • ネットワーク上の感染ファイルを駆除する場合は、駆除作業を始める前に必ず、すべての共有を無効にするか、あるいは読み取り専用に設定してください。
  • このツールはNovel NetWareサーバー上では動作しません。NetWareサーバーからこのリスクを駆除するには、最初にウイルス定義を最新版に更新した後、お使いのシマンテック製ウイルス対策プログラムを使ってシステム全体のスキャンを実行してください。


ツールの入手方法と使用方法
注意: Windows NT 4.0/2000/XP 上でこのツールを実行する場合は、管理者権限でログオンしておく必要があります。

警告: (ネットワーク管理者の方へ) MS Exchange 2000 Server をご利用の場合、コマンドライン(EXCLUDE スイッチ)から駆除ツールを実行することで、M ドライブをスキャン対象から外すことを推奨します。詳細につきましては、マイクロソフト サポート技術情報 - 298924 "[XADM] Exchange 2000 のドライブ M をバックアップまたはスキャンしてはいけない"をご参照ください。


ツールをダウンロードするには、次の手順を実行します。
  1. 下記のサイトから FixZotob.exe ファイルをダウンロードします。
    http://securityresponse.symantec.com/avcenter/FixZotob.exe
  2. ファイルを Windows デスクトップなど都合のよい場所に保存します。
  3. デジタル署名の信憑性をチェックするには、後述の 「デジタル署名の確認方法」 のセクションを参照してください。

    注意: Security Response のダウンロードページからツールをダウンロードした場合、このステップを省略できます。しかし Security Response のダウンロードページからダウンロードされたものかどうか分からない場合、あるいはネットワーク管理者の方で、実行前にファイルを認証する必要がある場合には、ステップ 4 に進む前に 「デジタル署名の確認方法」 のセクションの手順を実行してください。
  4. 実行中のプログラムをすべて閉じます。
  5. お使いのコンピュータがネットワークに接続している、あるいはインターネットに常時接続している場合、ネットワークまたはインターネットへの接続を遮断してください。
  6. Windows Me/XP システム上で作業している場合、システムの復元機能をオフにしてください。システムの復元機能を無効にする方法については、Windows のマニュアルか、あるいは下記のドキュメントをご覧ください。
  7. ダウンロードしたファイルを選択する。
  8. FixZotob.exe ファイルをダブルクリックして、駆除ツールを起動します。
  9. [Start] ボタンを押して、駆除を開始します。
  10. コンピュータを再起動します。
  11. 駆除ツールを再度実行し、システムがクリーンな状態になったか確認します。
  12. Windows Me/XP をご使用の場合は、この時点でシステム復元機能をオンに戻します。.
  13. 必要に応じて、この時点でネットワークまたはインターネットに再接続してください。
  14. LiveUpdate を実行し、ウイルス定義を最新版に更新します。

駆除処理が終わると、お使いのコンピュータが脅威に感染していたかどうかを示すメッセージが表示されます。ワームの駆除に成功した場合、次の結果が表示されます。
  • Total number of the scanned files (スキャンされたファイル数)
  • Number of deleted files (削除されたファイル数)
  • Number of repaired files (修復されたファイル数)
  • Number of terminated viral processes (停止された有害プロセス数)
  • Number of fixed registry entries (復元されたレジストリ項目数)

このツールが行うこと

駆除ツールは次のことを行います。
  1. 関連するプロセスを停止します。
  2. 関連するファイルを削除します。
  3. 脅威がレジストリに追加した値を削除します。
  4. SharedAccess サービスを Microsoft Windows のデフォルト設定に戻します。


このツールで利用可能なコマンドラインスイッチ

以下のスイッチはネットワーク管理者用に提供されています。

スイッチ

説明

/HELP, /H, /?
ヘルプメッセージを表示します。

/NOFIXREG
レジストリの修復をオフにします (このスイッチの使用は推奨しません)。

/SILENT, /S
サイレントモードをオンにします。

/LOG=[PATH NAME]>
<pathname> で指定した場所にツールの出力内容を保管するためのログファイルを作成します。標準では、FixZotob.log というログファイルが駆除ツールと同じディレクトリに保存されます。

/MAPPED
マッピングされているネットワークドライブをスキャンします (このスイッチの使用は推奨していません)。

/START
ツールによるスキャン操作をすぐに強制開始します。

/EXCLUDE=[PATH]
<path> で指定した場所をスキャン対象から除外します (このスイッチの使用は推奨していません、以下をご覧ください)。

/NOFILESCAN
ファイルシステムのスキャンをオフにします。


注意:/MAPPED スイッチを使用した場合、次の理由により、リモートコンピュータ上のウイルスが完全に駆除されない可能性があります。
  • マッピングドライブのスキャンは、マッピングされているフォルダのみがスキャン対象となります。すなわち、リモートコンピュータの全フォルダがスキャンされるとは限らないため、検出漏れが発生するおそれがあります。
  • マッピングドライブ上でウイルスファイルを検出した場合でも、リモートのコンピュータ上でアプリケーションがそのファイルを使用していた場合、そのファイルを駆除することはできません。

このような理由により、(/MAPPEDスイッチを使用せずに) 駆除ツールを全コンピュータ上で個別に実行することを推奨します。


/EXCLUDE スイッチは、単一のパスに対してのみ動作します。複数のパスに対しては動作しません。このスイッチの代替方法として、/NOFILESCAN スイッチを使用し、その後、AntiVirus で手動スキャンを実行する方法があります。これにより、駆除ツールがレジストリを変更することが可能になります。その後、最新版のウイルス定義を使用して、AntiVirus によるコンピュータの完全スキャンを実行してください。これらの一連のステップを実行することで、ファイルシステムをクリーンな状態に戻すことができます。

以下は、単一ドライブをスキャン対象から除外したい場合に使用可能なコマンドラインの一例です。

"C:\Documents and Settings\user1\Desktop\FixZotob.exe" /EXCLUDE=M:\ /LOG=c:\FixZotob.txt

上記の代わりに、下記のコマンドラインを使用してもかまいません。この場合、ファイルシステムのスキャンはスキップされますが、ワームによってレジストリに行われた変更は修復されます。その後、通常通りの方法で、スキャン対象を指定し、システムのスキャンを実行してください。

"C:\Documents and Settings\user1\Desktop\XXfilenameoftoolXX" /NOSCANFILE /LOG=c:\FixZotob.txt

注意: ログファイルに任意の名前を付け、任意の場所に保存できます。



デジタル署名の確認方法
セキュリティ上の理由から、駆除ツールデジタル認証されています。シマンテックでは Security Response のダウンロードページから直接ダウンロードして入手した駆除ツールのコピーだけを使用することを推奨します。

Security Response のダウンロードページからダウンロードして入手したのかどうか分からない場合、あるいはネットワーク管理者の方で、実行前にファイルを認証する必要がある場合には、デジタル署名を確認してください。

デジタル署名を確認するには、次の手順を実行してください。
  1. http://www.wmsoftware.com/free.htm をクリックしてください。
  2. Chktrust.exe ファイルを駆除ツールを保存したフォルダにダウンロードして保存します。

    注意: 次の手順の大部分はコマンドプロンプトで実行されます。駆除ツールを Windows デスクトップにダウンロードした場合、まずこのツールを C ドライブのルートに移動すると良いでしょう。その後、Chktrust.exe ファイルも同様に C ドライブのルートに保存してください。


    (ステップ 3 以降は駆除ツールおよび Chktrust.exe が両方とも C ドライブのルートに保存されているということを前提に記述されています。)
  3. [スタート] ボタンを押し、[ファイル名を指定して実行] をクリックします。
  4. ご使用の Windows のバージョンに応じて、次のいずれかの操作を実行します。
    • Windows 95/98/Me の場合: command と入力します。
    • Windows NT/2000/XP の場合: cmd と入力します。

  5. [OK] をクリックします。
  6. コマンドウィンドウで、次のコマンドを入力してください (1 行入力するごとに Enter キーを押してください)。

    cd\
    cd downloads
    chktrust -i     FixZotob.exe
  7. お使いのオペレーティングシステムに応じて、次のメッセージが表示されます。
    • Windows XP SP2:
      Trust Validation Utility ウィンドウが表示されます。

      発行元の下の Symantec Corporation のリンクをクリックしてください。デジタル署名の詳細が表示されます。このツールが本物であることを確認するには、次のフィールドのコンテンツを照合してください。

      名前: Symantec Corporation
      署名時刻: 2005/08/24 (水) 03:13:54 AM
    • Windows XP SP2 以外:
      次のメッセージが表示されます。

      "W32.Zotob Removal Tool" は 2005/08/24 03:13:54 AM に署名されて次から配布されています。インストールして実行しますか?

      Symantec Corporation

      注意:
    • 日時はセットしているタイムゾーンによって変わります。上記はタイムゾーンを (GMT+9:00) 東京、大阪、札幌に設定してある場合です。
    • 夏時間を設定してある場合はさらに一時間早く表示されます。
    • このメッセージ ダイアログが表示されない場合、次の2通りの原因が考えられます。
      • そのツールがシマンテックから配布されたものではない。ツールがシマンテックの Web サイトからダウンロードした正規のツールだという確信がない限り、そのファイルは使用しないでください。
      • そのツールはシマンテックから配布された正規のツールであるけれども、お使いのOSがSymantec Corporationからの内容を常に信頼するように設定されていた場合。詳しくは、ドキュメント "Chktrust.exe で発行者の認証ダイアログが表示されるように設定する方法" をご覧ください。

  8. [はい] をクリックして、ダイアログボックスを閉じます。
  9. exit と入力し、Enter キーを押します。(これで MS-DOS プロンプトが終了します。)


スパムレポート
©1995 - 2012 Symantec Corporation
サイトマップ|
利用規約|
プライバシーポリシー|
お問い合わせ|
各国サイト