発見日: 2006 年 3 月 23 日
更新日: 2007 年 2 月 13 日 1:08:03 PM
種別: トロイの木馬
影響を受けるシステム: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
以下の手順は、Symantec AntiVirus および Norton AntiVirus 製品シリーズも含め、現在サポート対象となっているすべてのシマンテック アンチウイルス製品のお客様を対象にして記述されています。
- システムの復元機能を無効にします (Windows Me/XP)。
- hosts ファイルに追加された全エントリを削除します。
- ウィルス定義を最新版に更新します。
- システム全体のスキャンを実行し、検出されたファイルをすべて削除します。
- レジストリに追加されたすべての価を削除します。
具体的な手順については、以下のセクションをご覧ください。
1. システムの復元オプションを無効にする (Windows Me/XP)
Windows Me/XP をお使いの場合は、駆除作業を行う前にシステムの復元オプションを一時的に無効にしてください。システムの復元機能は、Windows Me/XP の機能の一つで、標準では有効に設定されています。コンピュータがウイルス、ワーム、またはトロイの木馬に感染した場合、ウイルス、ワーム、またはトロイの木馬のバックアップファイルが _RESTORE フォルダ内に作成されている可能性があります。
Windows は、ウイルス対策プログラムのような外部プログラムによるシステムの復元機能の改変を防止するように設定されています。この理由により、ウイルス対策プログラムおよび駆除ツールでは _RESTORE フォルダ内に保存されている感染ファイルを削除することはできません。その結果、他のあらゆる場所から感染ファイルを削除した後でも、感染したファイルが誤って復元される可能性があります。
また、ウイルス対策プログラムでコンピュータをスキャンしたときに感染ファイルが検出されなかった場合でも、オンラインスキャンの実行時に _RESTORE フォルダ内の脅威が検出されることがあります。
システムの復元機能を無効にする方法については、Windows のマニュアルか、あるいは下記のドキュメントをご覧ください。
注意: 駆除作業が完全に終わり、脅威が駆除されたことを確認した時点で、上記のドキュメントに記載の手順を実行することでシステムの復元機能を有効な状態に戻してください。
システムの復元機能についての詳細および別の無効化方法については、"マイクロソフト サポート技術情報 - 263455 - _RESTORE フォルダにウィルスが発見された場合の対応方法について" をご覧ください。
2. hosts ファイルに追加された全エントリを削除します。
- 次のロケーションを選択します。
- Windows 95/98/Me:
%Windir%
- Windows NT/2000/XP:
%Windir%\System32\drivers\etc
注意:
- hosts ファイルのロケーションは不定であり、一部のコンピュータにはこのファイルが存在しない可能性もあります。またこのファイルの複数のコピーが様々なロケーションに存在する場合もあります。このファイルが上記のフォルダに存在しない場合は、ディスクドライブで hosts ファイルを検索してから、発見した各インスタンスについて次の手順を実行してください。
- %Windir% は可変で Windows のインストールフォルダを参照します。標準では、このフォルダは C:\Windows (Windows 95/98/Me/XP) または C:\Winnt (Windows NT/2000) です。
- hosts ファイルをダブルクリックします。
- 必要な場合は、[これらのファイルを開くときは、いつもこのアプリケーションを使う] チェックボックスの選択を解除します。
- プログラムリストをスクロールし、[Notepad] (メモ帳) をダブルクリックします。
- ファイルが開いたら、ワームによって追加された全エントリを削除します。(エントリの完全なリストについては、テクニカルノートセクションをご覧ください。)
- Notepad (メモ帳) を閉じ、保存の確認メッセージが表示されたら変更内容を保存します。
3. ウイルス定義ファイルを更新する
ウイルス定義ファイルを最新版に更新します。最新版のウイルス定義ファイルは次の 2 通りの方法で入手することができます。
- LiveUpdate を使用して入手する方法:
- Norton AntiVirus 2006、Symantec AntiVirus Corporate Edition 10.0 以上をご使用の場合は、LiveUpdate の定義は毎日更新されます。これらの製品には、より新しいテクノロジーが含まれています。
- Norton AntiVirus 2005、Symantec AntiVirus Corporate Edition 9.0 またはそれ以前の製品をご使用の場合は、LiveUpdate の定義は 1 週間ごとに更新されます。メジャーなウイルスが流行した場合は例外で、定義はより頻繁に更新されます。
- Intelligent Updater を使用して入手する方法:Intelligent Updater は、シマンテックの Web サイトや FTP サイトで提供されています。ダウンロードしたプログラムを実行することで、そのコンピュータ上のウイルス定義ファイルを最新版に更新することができます。Intelligent Updater 形式のウイルス定義ファイルは、米国時間の平日 (日本時間の火曜日~土曜日) に毎日アップロードされます。Intelligent Updater 形式のウイルス定義ファイルは LiveUpdate よりも早いタイミングでアップロードされますが、ベータリリースという位置付けではなく、アップロード前に完全な品質保証テストが行われています。Intelligent Updater 形式のウイルス定義ファイルは、米国時間の平日 (日本時間の火曜日~土曜日) に毎日アップロードされます。Intelligent Updater 形式のウイルス定義ファイルは LiveUpdate よりも早いタイミングでアップロードされますが、ベータリリースという位置付けではなく、アップロード前に完全な品質保証テストが行われています。このウイルスへの対応は、ページ上部に記載の「対応日 (Intelligent Updater)」欄の日付をご覧ください。
注意: Intelligent Updater は、ウイルス定義ファイルとスキャンエンジンの完全版をインストールするプログラムです。このため、前回からの差分のみをダウンロードする LiveUpdate に比べると、ダウンロードサイズが非常に大きな容量となります。このため、LiveUpdate で定期的にウイルス定義ファイルの更新を行い、疑わしいファイルからウイルスを検知できない場合などに、Intelligent Updater でウイルス定義ファイルを更新することをお薦めします。
Intelligent Updater のウイルス定義ファイルは、こちらからダウンロードすることができます。ダウンロード、インストールする方法に関しては、こちらをご参照ください。
4. 感染ファイルを探して削除する
- シマンテックのウイルス対策ソフトを起動して、すべてのファイルがスキャン対象として設定されているか確認します。
- システム全体のスキャンを実行します。
- ファイルが検出されたら、[削除] をクリックします。
警告: Norton AntiVirus が感染ファイルを削除できないというメッセージが表示された場合、そのファイルは Windows で使用中の可能性があります。このような場合には、コンピュータをセーフモードで再起動した後でスキャンを実行する必要があります。コンピュータをセーフモードで再起動する方法については、"コンピュータをセーフモードで起動する方法" をご覧ください。コンピュータがセーフモードで再起動したら、スキャンを再度実行してください。
(ファイルの削除後、コンピュータを通常モードで再起動してから次のセクションに進んでください。)
この時点でワームが完全に削除されていないと、コンピュータの再起動時に警告メッセージが表示される可能性があります。これらのメッセージは無視して、[OK] をクリックしてください。駆除手順の終了後は、コンピュータの再起動時に警告メッセージが表示されることはありません。警告メッセージは、次の内容に類似している可能性があります。
タイトル: [ファイルパス]
本文: Windows cannot find [ファイル名].Make sure you typed the name correctly, and then try again.To search for a file, click the Start button, and then click Search.
5. レジストリから値を削除する
警告: システムレジストリに変更を行なう際には、事前にバックアップを作成することを強くお勧めします。レジストリに不適切な変更を行なうと、データの喪失やファイルの破損など修復不可能な問題が生じる可能性があります。指定されたキーのみを修正するよう注意してください。レジストリの編集作業を始める前に必ず "レジストリのバックアップ方法" をお読みください。
- [スタート] - [ファイル名を指定して実行] をクリックします。
- regedit と入力します。
- [OK] をクリックします。
注意: レジストリエディタを開けない場合、トロイの木馬がレジストリを改ざんして、レジストリエディタへのアクセスを阻止している可能性があります。Security Response はこの問題を解決するツールを作成しました。このツールをダウンロードして実行してから、駆除手順を続行してください。
- 次のサブキーを選択します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- 画面右側で、次の値を削除します。
"Shell" = "C:\:.exe -e"
- 次のサブキーを選択します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- 画面右側で、次の値をリセットします。
"Shell" = "C:\:.exe -s explorer.exe"
次の値へ
"Shell" = "explorer.exe"
- 次のサブキーを選択します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
- 画面右側で、次の値をリセットします。
"AlternateShell" = "C:\:.exe -s cmd.exe"
次の値へ
"AlternateShell" = "cmd.exe"
- 次のサブキーが存在する場合は、そのサブキーへナビゲートします。
HKEY_LOCAL_MACHINE\SOFTWARE\Gravity Soft\Ragnarok\ShortCutList
- 画面右側で、次の値を削除します。
"1" = "[日本語のテキスト]"
"2" = "[日本語のテキスト]"
"3" = "[日本語のテキスト]"
"4" = "[日本語のテキスト]"
"5" = "[日本語のテキスト]"
"6" = "[日本語のテキスト]"
"7" = "[日本語のテキスト]"
"8" = "[日本語のテキスト]"
"9" = "[日本語のテキスト]"
- レジストリエディタを終了します。
記述: Takayoshi Nakayama
Hatena
Yahoo
Livedoor
Buzzurl
Delicious
FC2
Google
Newsvine
newsing
Digg