|
日本サイト更新日: 2003年1月21日 17:30
W32.Klez駆除ツール
最終更新日: 2003年1月6日 13:30 (米国時間)
シマンテックでは、 W32.Klez@mmとW32.ElKernの全ての亜種を除去する駆除ツールを配布しています。
このツールのダウンロードと使い方を説明したオンラインマニュアルをご用意しました。こちらからご覧ください。
W32.Klez.gen@mmが検出された場合には:
W32.Klez.gen@mmは、W32.Klezのすべての亜種を検出する汎用検出名です。W32.Klez.gen@mmに感染しているコンピュータは、多くの場合、W32.Klez.E@mmあるいはW32.Klez.H@mmによる影響を受けています。ご使用のコンピュータ上でW32.Klez.gen@mmに感染しているファイルが検出された場合は、駆除ツールをダウンロードして実行してください。この駆除ツールはほとんどの場合、感染を駆除できます。
このツールが行なうこと
W32.Klez駆除ツールは次のことを行います。
- W32.Klez@mm または W32.Elkernのプロセスをすべて停止させます。
- W32.Klez@mm のサービスをすべて削除します。
- W32.Klez@mm によって作成されたレジストリ項目を削除します。
- 全タイプのW32.Klez@mm および W32.Elkern を検出し、修復可能な感染ファイルはすべて修復します。
- W32.Elkern.4926修復ファイルを無害化し、再感染を防止します。
注意:
- W32.Klez.E@mmおよびW32.Klez.H@mmに感染しているファイルは、暗号化されている元のファイルへのリンクを維持します。 暗号化されているファイルがそのリンクに存在しない場合、そのファイルは修復不可能になり、暗号化ファイルを復元できないため、駆除ツールは感染ファイルを削除します。
- W32.ElKernを修復できたとしても、そのファイルからウイルスコードが削除されるだけであり、そのファイルが元通りに動作することを保証するものではありません。これは、W32.ElKernに感染したファイルは多くの場合、壊れてしまうためです。
このツールで利用可能なコマンドライン スイッチ
|
スイッチ
|
説明
|
| /HELP, /H, /? |
ヘルプメッセージを表示します。
|
| /NOFIXREG |
レジストリの修復をオフにします(このスイッチの使用は推奨しません)。 |
| /SILENT, /S |
サイレントモードをオンにします。 |
| /LOG=<pathname> |
<pathname>で指定した場所にツールの出力内容を保管するためのログファイルを作成します。標準では、FixKlez.logというログファイルが駆除ツールと同じディレクトリに保存されます。 |
| /MAPPED |
マッピングされているネットワークドライブをスキャンします(このスイッチの使用は推奨していません。詳しくは後述の注意をご覧ください)。 |
| /START |
ツールによるスキャン操作をすぐに強制開始します。 |
| /EXCLUDE=<path> |
<path>で指定した場所をスキャン対象から除外します(このスイッチの使用は推奨していません)。 |
注意:/MAPPED スイッチを使用した場合、次の理由により、リモートコンピュータ上のウイルスが完全に駆除されない可能性があります。
- マッピングドライブのスキャンは、マッピングされているフォルダのみがスキャン対象となります。すなわち、リモートコンピュータの全フォルダがスキャンされるとは限らないため、検出漏れが発生するおそれがあります。
- マッピングドライブ上でウイルスファイルを検出した場合でも、リモートのコンピュータ上でアプリケーションがそのファイルを使用していた場合、そのファイルを駆除することはできません。
- 暗号化された状態で保存されている元のホストファイルのパスはローカルパスを参照しているため、マッピングドライブ上のW32.Klez.E@mm またはW32.Klez.E@mm 感染ファイルの修復に失敗する可能性があります。
このような理由により、(/MAPPEDスイッチを使用するのではなく) 駆除ツールを全コンピュータ上で個別に実行することを推奨します。
ツールの入手方法と使用方法:
注意:Windows NT 4.0/2000/XP上でこのツールを実行する場合は、管理者権限でログオンしておく必要があります。
- 下記のサイトからFixKlez.com ファイルをダウンロードします。
http://securityresponse.symantec.com/avcenter/FixKlez.com
- ファイルをダウンロードフォルダもしくはWindowsデスクトップなど都合のよい場所(あるいは未感染のリムーバブル メディア)に保存します。
- デジタル署名の信憑性をチェックするには、後述の「デジタル認証の確認方法」のセクションを参照してください。
- ツールを実行する前に、すべてのプログラムを終了します。
- ネットワークに接続して作業している場合、あるいは、インターネットに常時接続している場合、コンピュータをネットワークまたはインターネットとの接続をいったん切ります。
- Windows Me/XPシステム上で作業している場合、システムの復元機能をオフにしてください。詳しくは、後述の「Windows Me/XPのシステムの復元オプション」をご覧ください。
注意:Windows Me/XP上で作業している場合は、このステップは絶対に省略しないでください。
- コンピュータをシャットダウンし、電源を切り、30秒間待ちます。このステップは省略しないでください。
- コンピュータをセーフモードで再起動します。(Windows NT以外のすべてのWindows 32-ビットOSはセーフモードで再起動することができます。)
具体的な手順については、次のうち、ご使用のOSに該当するドキュメントをご覧ください。
- FixKlez.com ファイルをダブルクリックして実行します。
- Start ボタンを押して、駆除を開始させます。
- コンピュータを再起動します。
- 次に、NAVを再インストールする必要があります。
- NAV 2000/2002/2002等、個人のお客様向けNAV製品をお使いの場合(パッケージ製品)はドキュメント"ウィルス駆除後のNorton Antivirusの復元方法"をご覧ください。
- 企業・法人のお客様向けNAV製品をお使いの場合(ライセンス製品)システム管理者にお問い合わせください。
- LiveUpdateを実行し、ウイルス定義を最新版に更新し、コンピュータのスキャンを再度実行します。NAVで修復できないファイルは削除してください。
- Windows Me/XPをご使用の場合は、この時点でシステム復元機能をオン状態にします。
注意:前述のように、WindowsMe/XPのシステム復元機能を無効化せずに駆除ツールを実行するとWindowsによって外部のプログラムによるシステムの復元の改変操作が妨げられるため、駆除に失敗し、駆除ツールが行うワーム駆除操作がすべて失敗する可能性があります。駆除ツールの適用前にW32.Klez.gen@mmが発病処理を実行してしまっていた場合、多くの場合、Norton AntiVirus(NAV)を起動できなくなります。そのような場合には、コマンドラインからNAVを実行し、NAVを再インストールする必要があります。詳細はW32.Klez.E@mmのページの駆除セクションをご覧ください。
駆除処理が終わると、お使いのコンピュータがW32.Klez@mmおよび/またはW32.ElKernのすべての亜種に感染していたかどうかを示すメッセージが表示されます。ワームの駆除に成功した場合、次の結果が表示されます。
- Total number of the scanned files (スキャンされたファイル数)
- Number of deleted files (削除されたファイル数)
- Number of repaired files (修復されたファイル数)
- Number of terminated viral processes (停止された有害プロセス)
- Number of deleted viral services (削除されたウイルスサービス)
- Number of fixed registry entries(修復されたレジストリ項目)
デジタル認証の確認方法
FixKlez.com はデジタル認証されています。シマンテックでは Security Response のダウンロードページから直接ダウンロードして入手したものだけを使用することを推奨します。デジタル認証の署名をチェックするには、以下の手順にしたがってください。
- http://www.wmsoftware.com/free.htmをクリックします。
- Chktrust.exeファイルをFixKlez.com と同じフォルダ(例:C:\Downloadsなど)にダウンロードします。
- ご使用のWindowsのバージョンに応じて、次のいずれかの操作を実行します。
- Windows 95/98/NTの場合: [スタート] ボタンをクリックし、[プログラム]-[MS-DOSプロンプト]を選択してMS-DOSプロンプトを起動します。
- Windows Me/XP/2000の場合:[スタート] ボタンをクリックし、[プログラム]-[アクセサリ]-[コマンド プロンプト]を選択します。
- FixKlez.com と Chktrust.exe が保存されているフォルダに移動し、次のコマンドを入力し、Enterキーを押します。
chktrust -i FixKlez.com
例えば、C:\Downloads フォルダに保存している場合は、下記のようにコマンドを入力してください。( 1行入力するごとにEnterキーを押してください)
cd\
cd downloads
chktrust -i FixKlez.com
デジタル認証が正当なものである場合、次のメッセージが表示されます。
"W32.Klez Fix Tool"は2002/9/10 19:11 に署名されて次から配布されています。インストールして実行しますか:
Symantec Corporation
注意:
- このとき表示される日時はお客様がセットしているタイムゾーンによって変わります。上記はタイムゾーンを(GMT+9:00)東京、大阪、札幌に設定してある場合です。
- 夏時間を設定していた場合は1時間早い時刻が表示されます。
- このメッセージ ダイアログが表示されない場合、次の2通りの原因が考えられます。
- [はい]をクリックして、ダイアログボックスを閉じます。
- exit と入力し、Enterキーを押します。これでMS-DOSプロンプトが終了します。
Windows Me/XPのシステムの復元オプション
Windows Me/XPをお使いの場合は、駆除ツールを使用する前にシステムの復元オプションを一時的にオフにしてください。システムの復元機能は、Windows Me/XPの新機能の一つで、標準では有効に設定されています。この機能は、Windowsがコンピュータ上のファイルが破損した場合にそれらを自動的に復元するために使用されます。コンピュータがウイルス、ワーム、またはトロイの木馬に感染した場合、ウイルス、ワーム、またはトロイの木馬のバックアップファイルが_RESTOREフォルダ内に作成されている可能性があります。デフォルトでは、Windowsは、外部プログラムによるシステムの復元機能の改変を防止するように設定されています。この理由により、感染したファイルが誤って復元されたり、オンラインスキャンによってその場所の脅威が検出される可能性があります。システムの復元機能を無効にする方法についての詳細は、下記のドキュメントをご覧ください。
システムの復元機能についての詳細および別の無効化方法については、Microsoft Knowledge Base article :_RESTORE フォルダにウィルスが発見された場合の対応方法についてID: Q263455をご覧ください。
駆除ツールをフロッピーディスクから実行するには
- FixKlez.com の入っているフロッピーディスクをドライブに入れます。
- [スタート] - [ファイル名]を指定して実行 を選択します。
- 下記の通り入力して、OKをクリックします。
a:\FixKlez.com
注意:
- a:\FixKlez.com にはスペースを入れないでください。
- Windows Me/XPをお使いの方で、システムの復元機能を有効にしたままこのツールを実行すると警告メッセージが表示されます。その場合、システムの復元オプションを無効にして実行を続けるか、駆除ツールの実行を終了するかを選択してください。
- Startボタンをクリックして実行します。
-
Windows Me/XPをお使いの方は、この時点でシステムの復元機能を有効な状態に戻してください。
注意:
Norton AntiVirus 2000/2001/2002をご使用のお客様は、ほとんどの場合ウイルスを削除した後、NAVをいったんアンインストールし、その後、再インストールする必要があります。この方法については、ウィルス駆除後のNorton Antivirusの復元方法をご覧ください。
|
