clear clear
Symantec.com logo Security Response
japan
グローバルサイト
製品とサービス
製品の購入
サポート
セキュリティ・レスポンス
ダウンロード
シマンテックについて
サーチ
フィードバック
grey


© 1995-2004 Symantec Corporation.
All rights reserved.
 商標について
プライバシーポリシー
日本サイト更新日: 2003年10月5日 23:20
Trojan.Qhosts 駆除ツール

発見日: 2003年10月3日 (米国時間)
最終更新日: 2003年10月3日 14:56

Symantec Security Response はTrojan.Qhosts の感染を除去する駆除ツールを開発しました。

Trojan.Qhosts 駆除ツールは、次のことを行います。

  1. Trojan.Qhosts の有害プロセスを停止させます。
  2. Trojan.Qhosts ファイルを削除します。
  3. ワームが追加したレジストリキーを削除します。

このツールで利用可能なコマンドライン スイッチ
スイッチ 説明
/HELP, /H, /? ヘルプメッセージを表示します。
/NOFIXREG レジストリの修復をオフにします(このスイッチの使用は推奨しません)。
/SILENT, /S サイレントモードをオンにします。
/LOG=<path name> <pathname>で指定した場所にツールの出力内容を保管するためのログファイルを作成します。標準では、FixQhost.log というログファイルが駆除ツールと同じディレクトリに保存されます。
/MAPPED マッピングされているネットワークドライブをスキャンします(このスイッチの使用は推奨していません。)。
/START ツールによるスキャン操作をすぐに強制開始します。
/EXCLUDE=<path> <path>で指定した場所をスキャン対象から除外します(このスイッチの使用は推奨していません)。
  • /MAPPED スイッチを使用した場合、次の理由により、リモートコンピュータ上のウイルスが完全に駆除されない可能性があります。

    • マッピングドライブのスキャンは、マッピングされているフォルダのみがスキャン対象となります。すなわち、リモートコンピュータの全フォルダがスキャンされるとは限らないため、検出漏れが発生するおそれがあります。

    • マッピングドライブ上でウイルスファイルを検出した場合でも、リモートのコンピュータ上でアプリケーションがそのファイルを使用していた場合、そのファイルを駆除することはできません。

      このような理由により、(/MAPPEDスイッチを使用せずに) 駆除ツールを全コンピュータ上で個別に実行することを推奨します。


  • /EXCLUDE スイッチは、複数のパスではなく、1つのパスのみ除外します。代替手段として、シマンテック製アンチウイルス製品の手動スキャン機能に付随する /NOFILESCAN スイッチがあります。このスイッチは、駆除ツールがレジストリを修正することを許可します。この作業を行った後、最新のウイルス定義ファイルを使ってコンピュータをスキャンします。

    • 以下は、1つのドライブをスキャン対象から除外するために使用するコマンドラインの一例です。

      "C:\Documents and Settings\user1\Desktop\FixQhost.exe" /EXCLUDE=M:\ /LOG=c:\FixQhost.txt

    • 代替手段として、以下のコマンドラインを使用することにより、ファイルシステムのスキャンをスキップし、レジストリに加えられた変更を修正することができます。この作業を終えた後は、必ず通常のスキャンを実行してください。

      "C:\Documents and Settings\user1\Desktop\FixQhost.exe" /NOSCANFILE /LOG=c:\FixQhost.txt

      (ログファイル名は、任意です)


ツールの入手方法と使用方法

注意:Windows NT 4.0/2000/XP上でこのツールを実行する場合は、管理者権限でログオンしておく必要があります。

警告(ネットワーク管理者用): MS Exchange 2000 サーバーをご利用の場合、コマンドライン(EXCLUDEスイッチ)から駆除ツールを走らせ、Mドライブをスキャン対象から外すことをお勧めします。この作業を行う/行わないに関わらず、駆除ツールを実行する前に、必ずMドライブ上の全データのバックアップをとってください。この手順の必要性につきましては、マイクロソフト サポート技術情報 - 299046 "予定表アイテムがユーザーのフォルダから削除される "をご覧ください。
  1. 下記のサイトからFixQhost.exe ファイルをダウンロードします。
    http://www.symantec.com/avcenter/FixQhost.exe
  2. ファイルをダウンロードフォルダもしくはWindowsデスクトップなど都合のよい場所(できれば未感染のリムーバブル メディア)に保存します。
  3. デジタル署名の信憑性をチェックするには、後述の「デジタル署名の確認方法」のセクションを参照してください。
  4. Windows Me/XPシステム上で作業している場合、システムの復元機能をオフにしてください。詳しくは、後述の「Windows Me/XPのシステムの復元オプション」をご覧ください。
    注意:この作業は、後日ワームが何らかの原因によって復元されてしまう、あるいはスキャンによって検知されてしまうことを予防するために必要です。しかしながら、ワームがレジストリに加えた変更によって、この作業を現時点で行えない可能性があります。もし、上記の作業を行えない場合、今の時点では、この作業をスキップしてください。しかし、システムへのアクセスが回復され次第、この作業は必ず行ってください。この作業を行うことにより、システムリストアのフォルダは空となり、将来起こり得る問題を防ぐことができます。
  5. FixQhost.exe ファイルをダブルクリックして実行します。
  6. Start ボタンを押して、駆除を開始させます。
  7. コンピュータを再起動します。
  8. 駆除ツールを再度実行し、システムがクリーンな状態になったか確認します。
  9. Windows Me/XPをご使用の場合は、この時点でシステム復元機能をオンに戻します。
  10. LiveUpdateを実行し、ウイルス定義を最新版に更新します。

    注意:WindowsMe/XPを使用している場合にシステム復元機能を有効にしたまま駆除ツールを実行すると、Windowsによって外部のプログラムによるシステムの復元の改変操作が妨げられるため、駆除に失敗し、駆除ツールが行うワーム駆除操作がすべて失敗する可能性があります。

駆除処理が終わると、お使いのコンピュータがTrojan.Qhosts に感染していたかどうかを示すメッセージが表示されます。ワームの駆除に成功した場合、次の結果が表示されます。

  • Total number of the scanned files. (スキャンされたファイル数)
  • Number of deleted files. (削除されたファイル数)
  • Number of terminated viral processes. (停止された有害プロセスの数)
  • Number of fixed registry entries.(復元されたレジストリ項目)


デジタル署名の確認方法
FixQhost.exe はデジタル認証されています。シマンテックでは Security Response のダウンロードページから直接ダウンロードして入手したものだけを使用することを推奨します。デジタル認証の署名をチェックするには、以下の手順にしたがってください。

  1. http://www.wmsoftware.com/free.htmをクリックします。
  2. Chktrust.exe ファイルをFixQhost.exe と同じフォルダ(例:C:\Downloads など)にダウンロードします。
  3. ご使用のWindowsのバージョンに応じて、次のいずれかの操作を実行します。

    • Windows 95/98/NTの場合: [スタート] ボタンをクリックし、[プログラム]-[MS-DOSプロンプト]を選択します。  
    • Windows Me/XP/2000の場合:[スタート] ボタンをクリックし、[プログラム]-[アクセサリ]-[コマンド プロンプト]を選択します。

  4. FixQhost.exe と Chktrust.exeが保存されているフォルダに移動し、次のコマンドを入力し、Enterキーを押します。

    chktrust -i FixQhost.exe

    例えば、C:\Downloads フォルダに保存している場合は、下記のようにコマンドを入力してください(1行入力するごとにEnterキーを押してください)。

    cd\
    cd downloads
    chktrust -i FixQhost.exe

    デジタル認証が正当なものである場合、次のメッセージが表示されます。

    "Trojan.Qhosts Removal Tool"は2003/10/04 2:33に署名されて次から配布されています。インストールして実行しますか?

    Symantec Corporation

    注意:

    • 日時はセットしているタイムゾーンによって変わります。上記はタイムゾーンを(GMT+9:00)東京、大阪、札幌に設定してある場合です。
    • 夏時間を設定してある場合はさらに一時間早く表示されます。
    • このメッセージ ダイアログが表示されない場合、次の2通りの原因が考えられます。

      • そのツールがシマンテックから配布されたものではない。ツールがシマンテックのWebサイトからダウンロードした正規のツールだという確信がない限り、そのファイルは使用しないでください。
      • そのツールはシマンテックから配布された正規のツールであるけれども、お使いのOSがSymantec Corporationからの内容を常に信頼するように設定されていた場合。詳しくは、ドキュメント"Chktrust.exe で発行者の認証ダイアログが表示されるように設定する方法"をご覧ください。

  5. [はい]をクリックして、ダイアログボックスを閉じます。
  6. exit と入力し、Enterキーを押します。(これでMS-DOSプロンプトが終了します。)


システムの復元オプションを無効にする (Windows Me/XP)
Windows Me/XPをお使いの場合は、駆除作業を行う前にシステムの復元オプションを一時的にオフにしてください。システムの復元機能は、Windows Me/XPの機能の一つで、標準では有効に設定されています。この機能は、Windowsがコンピュータ上のファイルが破損した場合にそれらを自動的に復元するために使用されます。コンピュータがウイルス、ワーム、またはトロイの木馬に感染した場合、ウイルス、ワーム、またはトロイの木馬のバックアップファイルが_RESTOREフォルダ内に作成されている可能性があります。

Windowsは、ウイルス対策プログラムのような外部プログラムによるシステムの復元機能の改変を防止するように設定されています。この理由により、ウイルス対策プログラムおよび駆除ツールでは_RESTOREフォルダ内に保存されている感染ファイルを削除することはできません。その結果、他のあらゆる場所から感染ファイルを削除した後でも、感染したファイルが誤って復元される可能性があります。

また、ウイルス対策プログラムでコンピュータをスキャンしたときに感染ファイルが検出されなかった場合でも、オンラインスキャンの実行時にRestoreフォルダ内の脅威が検出されることがあります。

システムの復元機能を無効にする方法については、Windowsのマニュアルか、あるいは下記のドキュメントをご覧ください。

システムの復元機能についての詳細および別の無効化方法については、Microsoft Knowledge Base article :_RESTORE フォルダにウィルスが発見された場合の対応方法について ID: Q263455をご覧ください。