Symantec Security Responceは、報告件数の減少のため、2002年7月23日（米国時間）に危険度3から危険度2へ引き下げました。

W32.Klez.E@mmは W32.Klez.A@mmと似た大量メール送信型ワームで、自分自身をネットワーク共有にもコピーします。大量メール送信に使用されるメールの件名、本文、添付ファイル名はランダムです。

このワームは、Microsoft OutlookおよびOutlook Expressの脆弱性を利用することによって、ユーザがメールを開いたりあるいはプレビューしただけで自動的に自分自身が実行されるように設計されています。この脆弱性に関する情報および修正プログラムは、下記のサイトで入手可能です。

http://www.microsoft.com/japan/technet/security/bulletin/ms01-020.asp

このワームはファイルを上書きし、元のファイルを隠しファイルとして保存します。また、W32.ElKern.3326と類似するW32.Elkern.3587ウイルスを感染先コンピュータ上に投下します。

さらに幾つかの有名ウイルス駆除ソフトを無効にしようとしたり、ファイルの内容をゼロで書き換えてしまう発病症状を持っています。


駆除ツール

Symantec Security Response では、W32.Klezの既知のすべての亜種とW32.ElKernを駆除するツールを配布しています。ツールを入手するには、こちらをクリックしてください。まずは、このツールで駆除を試みてください。


W32.Klez.gen@mmが検出された場合には：

W32.Klez.gen@mmは、W32.Klez.gen@mmはW32.Klezのすべての亜種を検出する汎用検出名です。W32.Klez.gen@mmに感染しているコンピュータは、多くの場合、W32.Klez.E@mmあるいはW32.Klez.H@mmによる影響を受けています。ご使用のコンピュータ上でW32.Klez.gen@mmに感染しているファイルが検出された場合は、駆除ツールをダウンロードして実行してください。この駆除ツールはほとんどの場合、感染を駆除できます。

別名: W32/Klez.e@MM [McAfee], WORM_KLEZ.E [Trend], Klez.E [F-Secure], W32/Klez-E [Sophos], Win32.Klez.E [CA], I-Worm.Klez.E [AVP]

亜種: W32.Klez.H@mm

種別: ウイルス, ワーム

影響を受けるシステム: Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me

影響を受けないシステム: Macintosh, Unix, Linux

CVE識別番号: CVE-2001-0154

対応日(Intelligent Updater)* 02/01/17(米国時間) 対応日(Live UpdateTM)** 02/01/23(米国時間) * Intelligent Updaterを通じたウイルス定義は随時更新されていますが、そのダウンロードとインストールは手動で行う必要があります。 ** LiveUpdateを通じたウイルス定義は毎週水曜日(米国時間)に更新されています。 LiveUpdateの使い方については、こちらをクリックしてください。

被害状況 感染台数: 1000以上 報告件数: 10以上 地域感染度: 中 対処レベル: 中 駆除: 普通

危険性評価グラフ 被害状況: 中 ダメージ: 中 感染力: 高

ダメージ

• 発症のタイミング: 奇数月(1月、3月、5月、7月、9月、11月）の６日になるとファイルの内容を0値で書き換える。
  
• 発病症状: 一般的なウイルス駆除ソフトを無効化する。
  
  • 大量メール送信: ローカルのファイル、および、OutlookやICQのアドレス帳に登録されているアドレスにメールを送信する。
    
  • ファイル改ざん: ファイルをゼロで上書きする
    

感染力

• メール件名: ランダム
  
• 添付ファイル: .bat、.exe、.pif、.scr拡張子のいずれかが付いたランダムなファイル名。
  

W32.Klez.E@mmが実行されると、自分自身を%System%\Wink[ランダムな文字列].exeにコピーします。

注意： %System%の部分は可変です。このワームはWindowsのシステムフォルダ（デフォルトではC:\Windows\System またはC:\Winnt\System32）を探し出し、そこに自分自身をコピーします。

その後、次のレジストリキーに

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

次の値を追加するか、

Wink[ランダムな文字列] %System%\Wink[ランダムな文字列].exe

あるいは、次のレジストリキーを作成し、

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Wink[ランダムな文字列]

そのサブキーに値を挿入することによって、Windowsが起動されるたびに毎回ワームが実行されるように設定します。


このワームは、オン・アクセス実行式のウイルススキャンプログラムおよび以前に配布されていた他のワーム（W32.NimdaやCodeRedなど）のプロセスを停止させることによって、それらのプログラムを無効にしようとします。また、ウイルス駆除ソフトが使用するスタートアップレジストリキーを削除し、下記のチェックサムデータベースファイルを削除します。

ANTI-VIR.DAT
CHKLIST.DAT
CHKLIST.MS
CHKLIST.CPS
CHKLIST.TAV
IVB.NTZ
SMARTCHK.MS
SMARTCHK.CPS
AVGQT.DAT
AGUARD.DAT

ワームは自分自身をローカルドライブ、マッピングドライブ、ネットワークドライブ上に次の形式のファイル名を使ってコピーします。

• 拡張子が2つ付いたランダムなファイル名。例：filename.txt.exe
  
• 拡張子が2つ付いた.rarアーカイブファイル。例：filename.txt.rar
  

また、Windowsのアドレス帳、ICQデータベース、ローカルファイル（.htmlやテキストファイル）から探し出したメールアドレスに対し、自分自身を添付した電子メールを送りつけます。このワームは独自のSMTPエンジンを含んでおり、利用可能なSMTPサーバを推測しようとします。

メールの件名、本文、添付ファイル名はランダムです。差出人のアドレスは、感染先コンピュータ上で発見したメールアドレスからランダムに選択されたものが使用されます。

注意：

• このワームは、感染先コンピュータ上で発見したメールアドレスからランダムに選択したものを「差出人」欄に表示するアドレスとして使用するため、実際には感染していないコンピュータから感染メールが他のユーザへ送信されてしまったという報告が数多く寄せられています。
  
  例えば、リンダ・アンダーソンのコンピュータがW32.Klez.E@mmに感染したとします。リンダはウイルス対策ソフトも最新のウイルス定義ファイルも使っていません。W32.Klez.E@mmがそのコンピュータから大量メール送信処理を実行する際、Lindaのパソコンからハロルド・ローガンの電子メールアドレスを発見した場合、ワームはハロルドのメールアドレスを「差出人:」として使った感染メールをジャネット・ビショップに送信します。感染メールを受け取ったジャネットはハロルドに連絡し、彼のメールアドレスから感染メールが届いたと苦情を言います。そこでハロルドがNorton AntiVirusを使って自分のコンピュータをスキャンしてみましたが、彼のコンピュータ自体は感染していないため、当然ながら何も検出されませんでした。
  
  最新版のNorton AntiVirusと最新のウイルス定義ファイルを使用している場合、すべてのファイルをスキャン対象に設定してシステム全体のスキャンを実行した結果何も検出されなければ、あなたのコンピュータはこのワームには感染していないことになります。
  
  
• このウイルスが独自のSMTPエンジンを使って送信した電子メールが一見「メールサーバーから戻されたメール」に見える様式で届いたという報告が幾つか寄せられています。例えば、あなたのメールアドレスがjsmith@anyplace.comで、ある電子メールを送信しようとしたとします。しかしメールサーバーがそのメールの送信処理に失敗した場合、メールサーバーはpostmaster@anyplace.comという差出人アドレスを使い、送信の失敗を通知するメールをあなたに送信します。それが実際にはウイルスから送信された偽のメールだった場合、その添付ファイルにはウイルス自身が含まれています。その場合はもちろん、そのメールに添付されたファイルは絶対に開封しないでください。
  
  

適切な修正プログラムが適用されていないMicrosoft Outlook または Outlook Expressでメールを開いた場合、添付ファイルが自動的に実行される可能性があります。これらメールクライアントの脆弱性および修正プログラムについては、下記のサイトをご覧ください。

http://www.microsoft.com/japan/technet/security/bulletin/ms01-020.asp

また、感染先のファイルのコピーを作成して隠しファイルとして保存した後、元のファイルを自分自身で書き換えることで、実行ファイルにも感染します。隠しファイルとして保存されたコピーは暗号化されますが、感染性のあるデータは何も含まれていない状態で保存されます。隠しファイルのファイル名は、元のファイル名にランダムな拡張子が付いたものになっています。

さらに、このワームはW32.Elkern.3587というウイルスを%System%\wqk.exeファイルとして保存、実行します。

最後に、1月と7月を除く奇数月の6日になると発病し、拡張子が.txt、.htm、.html、.wab、.doc、.xls、.jpg、.cpp、.c、.pas、.mpg、.mpeg、.bak、.mp3のファイルを0で埋め尽くします。1月あるいは7月の場合には、前述の拡張子がついたファイルだけでなく、すべてのファイルをゼロで埋め尽くします。

Symantec Security Response では、すべてのユーザと管理者の皆様に対し、基本的なオンライン・セキュリティ対策として日常的に次のことを実行することを奨励しています。

• 不必要なサービスをすべて無効化するか、あるいは削除する。OS の多くは標準で、FTP クライアント、telnet、Web サーバーなどコンピュータの操作に必ずしも必要ではない付加的なサービスをインストールします。そのような付加的サービスは、攻撃の侵入経路として利用されることが多いため、無効化あるいは削除することによって、攻撃経路をその分少なくすることができ、パッチ適用時にも更新が必要なサービス数を減らすことができます。
  
• 1つ、あるいは複数のネットワークサービスが複合型脅威の攻撃を受けた場合には、パッチを適用するまでの一時的な回避策として、攻撃を受けているサービスをオフにするか、そのサービスへのアクセスを遮断する。
  
• 常に最新のパッチを適用しておく。特に、公開サービスをホストしていたり、HTTP、FTP、メール、DNS サービスなど、ファイアウォールを介してアクセス可能にしているコンピュータに対しては必ず最新パッチを適用しておくよう心がけてください。
  
• パスワード・ポリシーの徹底。複雑なパスワードを設定しておけば、セキュリティが低下したコンピュータ上に保存しているパスワードファイルの解読を困難にすることができます。また、攻撃を受けた場合でも被害を防止あるいは最小限に抑えることができます。
  
• メールサーバーを、ウイルスが感染拡大を試みる際によく使用するファイル拡張子(.vbs、.bat、.exe、.scr など)が付いた添付ファイルを含むメールをブロックあるいは削除するように設定しておく。
  
• ネットワーク接続しているコンピュータが感染した場合は、他のコンピュータへの感染拡大を防止するために、そのコンピュータをすみやかにネットワークから切り離し、その後、被害を受けたコンピュータに対し被害状況の分析を行ない、信頼できるメディアを使って復旧を図る。
  
• 従業員に対し、次のことを徹底させる。
  
  • 予期せぬメールが届いた場合には添付ファイルを絶対に開かない。
    
  • インターネットからダウンロードしたソフトウェアについては、必ずウイルススキャンを実行し、問題がないことが確認できるまでは絶対に起動しない。
    
  • 既知のセキュリティホールに対応するパッチが適用されていない Web ブラウザーを使用している場合は、安全でない Web サイトにアクセスするだけで感染する可能性があることを留意する。
    

Norton AntiVirusでは、2002年1月17日（米国時間）以降のウイルス定義ファイルでW32.Klez.E@mmに対応しています。最新のウイルス定義を適用済みで、かつ、最新版Norton AntiVirusを全ファイルをスキャンするように設定していれば、W32.Klez.E@mmが起動するときに検出されます。ご使用のコンピュータ上に（アクティブではない）不審なファイルが存在すると思われる場合には、LiveUpdateを実行してウイルス定義を最新版に更新し、システム全体のスキャンを実行してください。

W32.Klez.E@mmが実行されてしまうと、ほとんどの場合、Norton AntiVirusを起動できなくなり、駆除が困難になり、駆除作業には長時間かかることになります。このワームの駆除手順は、ご使用のOSにより異なります。このワームを駆除するには、ご使用のOSに応じた手順をよくお読みになった上で、すべての手順を実行してください。


駆除ツールを使った方法

駆除ツール
シマンテックでは、W32.Klezの既知のすべての亜種およびW32.ElKernを駆除するツールを配布しています。ツールを入手するには、こちらをクリックしてください。
これらの脅威の駆除には、この駆除ツールを使用すると効果的です。まずは、このツールで駆除を試みてください。

W32.Klez.gen@mmが検出された場合には：
W32.Klez.gen@mmは、W32.Klezのすべての亜種を検出する汎用検出名です。W32.Klez.gen@mmに感染しているコンピュータは、多くの場合、W32.Klez.E@mmあるいはW32.Klez.H@mmによる影響を受けています。ご使用のコンピュータ上でW32.Klez.gen@mmに感染しているファイルが検出された場合は、駆除ツールをダウンロードして実行してください。この駆除ツールはほとんどの場合、感染を駆除できます。


Windows 95/98/Me上での手動駆除方法

以下の作業を、一切省略せずに、記載通りにすべて実行してください。この駆除手順は検証済みであり、ほとんどのケースに有効です。

注意: このワームによる被害内容およびワームの実行回数によっては、完全に駆除できない場合があります。その場合には、コンピュータの専門家にご相談ください。

1. 最新のウイルス定義ファイルをダウンロードします。

Intelligent Updaterを使ってダウンロードし、Windowsのデスクトップにファイルを保存してください。後で行う駆除作業で最新版ウイルス定義が必要となるため、このステップは最初に必ず行う必要があります。
Intelligent Updater を通じたウイルス定義のダウンロードは、次のページから行えます。

http://www.symantec.com/region/jp/sarcj/defs.download.html

Symantec Security ResponseのWeb サイトからIntelligent Updater を使用してウイルス定義ファイルをダウンロード、インストールする方法については、ドキュメント"ウィルス定義ファイルのインストール方法"をご覧ください。


2. コンピュータをセーフモードで再起動します。
このステップは絶対に省略しないでください。このステップの具体的な手順については、ドキュメント" Windows 9x または Windows Me をセーフモードで起動する方法"をご覧ください。

3. レジストリを編集します。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run キーに登録されているwink???.exeという値を調べ、winkファイルのファイル名を書き留めた後、その値を削除する必要があります。

注意：システムレジストリに変更を行なう際には、事前にバックアップを作成することを強くお勧めします。レジストリに不適切な変更を行なうと、データの喪失やファイルの破損など修復不可能な問題が生じる可能性があります。指定されたキーのみを修正するよう注意してください。レジストリの編集作業を始める前に必ず、"レジストリのバックアップ方法" をお読みください。

1. [スタート]ボタンを押し、[ファイル名を指定して実行]をクリックします。[ファイル名を指定して実行]ダイアログボックスが表示されます。
   
2. regeditと入力し、[OK]をクリックします。レジストリ エディタが開きます。
   
3. 次のレジストリキーを選択します。
   
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
   
   
4. 画面右側で、次の値を探します。
   
   Wink[ランダムな文字列] %System%\Wink[ランダムな文字列].exe
   WQK %System%\Wqk.exe
   
   
5. Wink[ランダムな文字列].exeの部分に記載されているファイル名を書き留めます。
   
6. Wink[ランダムな文字列].exeという値とWQKの値（存在する場合）を削除します。
   
7. 次のレジストリキーを選択し、開きます。
   
   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
   
   
8. 画面左側の\Services キーの下から、次のサブキーを探し、存在する場合は削除します。
   
   \Wink[ランダムな文字列]
   
   注意：この値はWindows 95/98/Meベースのコンピュータ上にはおそらく存在しませんが、念のためチェックしてください。
   
   
9. [レジストリ]-[レジストリエディタの終了]をクリックします。
   

4. 実際のWink[ランダムな文字列] ファイルを削除します。
Windows エクスプローラを使ってC:\Windows\Systemフォルダを開き、Wink[ランダムな文字列].exe ファイルを探してください。（ご使用のシステムの設定によっては、.exe 拡張子は表示されない可能性があります。）

注意: WindowsをC:\Windows以外の場所にインストールしていた場合は、Windowsをインストールしている場所で上記の作業を行ってください。

5. ごみ箱を空にします。
Windowsデスクトップ上にあるごみ箱アイコンを右クリックし、[ごみ箱を空にする]をクリックしてください。

6. Intelligent Updaterを実行します。
ステップ１でダウンロードしておいたファイルをダブルクリックし、確認メッセージが表示されたら[はい]または[OK]をクリックしてください。

7. コンピュータを再起動します。
コンピュータをいったんシャットダウンし、電源を切り、30秒間待った後、再起動してください。Windowsを通常通りに起動させた後、感染ファイルが検出されたら、 [検疫]を選択することで検疫場所に隔離してください。この時点で見つかる可能性があるファイルは、Luall.exe、Rescue32.exe、Nmain.exeです。

8. コマンドラインからNorton AntiVirus (NAV) を起動し、スキャンを実行します。
このワームは一部のNAVファイルにダメージを与えるため、 必ずコマンドラインからスキャンを実行する必要があります。

1. [スタート]ボタンを押し、[ファイル名を指定して実行]をクリックします。
   
2. 次のコマンドを入力するか、あるいはコピー&ペーストし、[OK]をクリックします。
   
   NAVW32.EXE /L /VISIBLE
   
3. スキャンが実行されます。検出された感染ファイルはすべて[検疫]してください。
   

9. コンピュータを再起動します。
Windowsが通常通りに起動します。

10. NAVを再インストールします。

注意:Windows XP上でNAV 2002をお使いの場合、お使いのシステムによっては再インストールできない場合があります。その場合には、コントロール パネルを開き、[管理ツール]をダブルクリックし、その後、[サービス]をダブルクリックしてください。表示されるリストから、[Windows Installer]を選択し、その後[操作]をクリックし、[開始]をクリックすることで、再インストールを試みてください。

具体的なNAVの再インストール方法については、"ウィルス駆除後のNorton Antivirusの復元方法"をご覧ください。

11. コンピュータを再起動し、スキャンを再度実行します。

1. コンピュータをいったんシャットダウンし、電源を切り、30秒間待った後、再起動します。
   
   注意: このステップは絶対に省略しないでください。省略すると、再び感染するおそれがあります。
   
   
2. LiveUpdateを実行し、ウイルス定義を最新版に更新します。
   
3. Norton AntiVirus (NAV)を開き、すべてのファイルがスキャン対象として設定されているか確認します。
   
   • 個人のお客様向けNAV製品をお使いの場合（パッケージ製品）：詳しくは、"How toconfigure Norton AntiVirus to scan all files"（英語）をご覧ください。
     
   • 企業・法人のお客様向けNAV製品をお使いの場合（ライセンス製品）：詳しくは、"Norton AntiVirus Corporate Edition ですべてのファイルがウイルススキャンされるように設定する方法"をご覧ください。
     
4. システム全体のスキャンを実行します。W32.Klez.E@mm あるいは W32.Klez.gen@mmとして検出された感染ファイルはすべて[検疫]してください。
   

Windows 2000/XP上での手動駆除方法

1. 最新のウイルス定義ファイルをダウンロードします。

Intelligent Updaterを使ってダウンロードし、Windowsのデスクトップにファイルを保存してください。後で行う駆除作業で最新版ウイルス定義が必要となるため、このステップは最初に必ず行う必要があります。
Intelligent Updater を通じたウイルス定義のダウンロードは、次のページから行えます。

http://www.symantec.com/region/jp/sarcj/defs.download.html

Symantec Security ResponseのWeb サイトからIntelligent Updater を使用してウイルス定義ファイルをダウンロード、インストールする方法については、ドキュメント"ウィルス定義ファイルのインストール方法"をご覧ください。

2. コンピュータをセーフモードで再起動します。
このステップは絶対に省略しないでください。Windows NT以外のすべてのWindows 32-ビットOSはセーフモードで再起動することができます。具体的な手順については、次のうち、ご使用のOSに該当するドキュメントをご覧ください。

• Windows XPをセーフモードで起動する方法
• Windows 2000　をセーフモードで起動する方法
  

3. レジストリを編集します。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run キーに登録されているwink[ランダムな文字列].exe サブキーの値を調べ、winkファイルのファイル名を書き留めた後、そのサブキーを削除する必要があります。

注意：システムレジストリに変更を行なう際には、事前にバックアップを作成することを強くお勧めします。レジストリに不適切な変更を行なうと、データの喪失やファイルの破損など修復不可能な問題が生じる可能性があります。指定されたキーのみを修正するよう注意してください。レジストリの編集作業を始める前に必ず、"レジストリのバックアップ方法" をお読みください。

1. [スタート]ボタンを押し、[ファイル名を指定して実行]をクリックします。[ファイル名を指定して実行]ダイアログボックスが表示されます。
   
2. regeditと入力し、[OK]をクリックします。レジストリ エディタが開きます。
   
3. 次のレジストリキーを選択します。
   
   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
   
   
4. 画面左側の\Services キーの下から、次のサブキーを探します。
   
   \Wink[ランダムな文字列]
   
   
5. Wink[ランダムな文字列].exeの部分に記載されているファイル名を書き留めます。
   
6. Wink[ランダムな文字列] サブキーを削除します。
   
7. 次のレジストリキーを選択します。
   
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
   
   
8. 画面右側で、次の値を探し、存在する場合は削除します。
   
   Wink[ランダムな文字列] %System%\Wink[ランダムな文字列].exe
   WQK %System%\Wqk.exe
   
   注意：この値はWindows 2000/XPベースのコンピュータ上にはおそらく存在しませんが、念のためチェックしてください。
   
   
9. [レジストリ]-[レジストリエディタの終了]をクリックします。
   

4. Windowsを、全ファイルを表示するように設定します。
このステップは省略しないでください。

1. Windows エクスプローラを起動します。
   
2. [ツール]メニューから[フォルダ オプション]を選択します。
   
3. [表示]タブをクリックします。
   
4. [登録されているファイルの拡張子は表示しない]のチェックを外します。
   
5. [保護されたオペレーティング システム ファイルを表示しない（推奨）]のチェックを外し、[ファイルとフォルダの表示]フォルダの下にある[すべてのファイルとフォルダを表示する]をクリックします。
   
6. [適用]をクリックし、その後、[OK]をクリックします。
   

5. 実際のWink[ランダムな文字列] ファイルを削除します。
Windows エクスプローラを使ってC:\Winnt\Systemフォルダを開き、Wink[ランダムな文字列].exe ファイルを探してください。（システムの設定によっては、.exe 拡張子は表示されない可能性があります。）

注意: WindowsをC:\Windows以外の場所にインストールしていた場合は、Windowsをインストールしている場所で上記の作業を行ってください。

6. ごみ箱を空にします。
Windowsデスクトップ上にあるごみ箱アイコンを右クリックし、[ごみ箱を空にする]をクリックしてください。

7. Intelligent Updaterを実行します。
ステップ１でダウンロードしておいたファイルをダブルクリックし、確認メッセージが表示されたら[はい]または[OK]をクリックしてください。

8. コンピュータを再起動します。
コンピュータをいったんシャットダウンし、電源を切り、30秒間待った後、再起動してください。

注意: このステップは大変重要です。このステップを省略すると再感染してしまいますので絶対に省略しないでください。

Windowsを通常通りに起動させた後、感染ファイルが検出されたら、 [検疫]を選択することで検疫場所に隔離してください。この時点で見つかる可能性があるファイルは、Luall.exe、Rescue32.exe、Nmain.exeです。

9. コマンドラインからNorton AntiVirus (NAV) を起動し、スキャンを実行します。
このワームは一部のNAVファイルにダメージを与えるため、 必ずコマンドラインからスキャンを実行する必要があります。

注意: ここで説明しているステップは一般ユーザ向けバージョンのNAVをお使いのお客様を対象にしたものです。Navw32.exeファイルは、エンタープライズ版のNAV(NAVCEなど)には含まれていません。また、NAVCEコマンドライン・スキャナのVpscan.exeは、このワームを駆除しません。

1. [スタート]ボタンを押し、[ファイル名を指定して実行]をクリックします。
   
2. 次のコマンドを入力するか、あるいはコピー&ペーストし、[OK]をクリックします。
   
   NAVW32.EXE /L /VISIBLE
   
   
3. スキャンが実行されます。検出された感染ファイルはすべて[検疫]してください。
   
   

10. NAVを再インストールします。

注意:Windows XP上でNAV 2002をお使いの場合、お使いのシステムによっては再インストールできない場合があります。その場合には、コントロール パネルを開き、[管理ツール]をダブルクリックし、その後、[サービス]をダブルクリックしてください。表示されるリストから、[Windows Installer]を選択し、その後[操作]をクリックし、[開始]をクリックすることで、再インストールを試みてください。

具体的なNAVの再インストール方法については、"ウィルス駆除後のNorton Antivirusの復元方法" をご覧ください。

11. コンピュータを再起動し、スキャンを再度実行します。

1. コンピュータをいったんシャットダウンし、電源を切り、30秒間待った後、再起動します。
   
   注意: このステップは絶対に省略しないでください。省略すると、再び感染するおそれがあります。
   
   
2. LiveUpdateを実行し、ウイルス定義を最新版に更新します。
   
3. Norton AntiVirus (NAV)を開き、すべてのファイルがスキャン対象として設定されているか確認します。
   
   • 個人のお客様向けNAV製品をお使いの場合（パッケージ製品）：詳しくは、"How toconfigure Norton AntiVirus to scan all files"（英語）をご覧ください。
     
   • 企業・法人のお客様向けNAV製品をお使いの場合（ライセンス製品）：詳しくは、"Norton AntiVirus Corporate Edition ですべてのファイルがウイルススキャンされるように設定する方法"をご覧ください。
     
4. システム全体のスキャンを実行します。W32.Klez.E@mm あるいは W32.Klez.gen@mmとして検出された感染ファイルはすべて[検疫]してください。
   

追加情報

W32.Klez.E@mmが次の内容の電子メールとして届いたという報告が幾つか寄せられています。シマンテックではお客様から依頼を受けない限り、このようなメールを送信することは一切ありません。このようなメールが届いた場合は、添付ファイルを未開封のまま削除してください。

件名: W32.Elkern removal tools

本文:
Symantec give you the W32.Elkern removal tools. W32.Elkern is a dangerous virus that can infect on Win98/Me/2000/XP.

For more information,please visit http://www.Symantec.com

添付ファイル: Install.exe

注意: このメールには他にもバリエーションがあり、それらも同様にW32.Klezの駆除ツールを装っています。

KlezによるMacintoshへの影響については、"Are Macintoshes affected by the Klez virus?"（英語）をご覧ください。