W95.MTX

日本サイト更新日: 2003年2月24日 12:00

W95.MTX

W95.MTXは、ウイルスコンポーネントとワームコンポーネントで構成されています。このウイルスはメールによって感染を広げる他、特定のフォルダの一部のWin32実行ファイルに感染します。このウイルスは特定のWebサイトへのアクセスを遮断する能力を持っているため、このウイルスに感染すると新しいウイルス定義をダウンロードできなくなる可能性があります。

W95.MTXにより受けた損傷を修復するツールをダウンロードするには、こちらをクリックしてください。

シマンテックでは、このウイルスの駆除手順を解説したインタラクティブチュートリアル(英語）をご用意しました。

別名: W95.Oisdbo, W95.MTX.dr, W95.MTX (.dll), W32/Apology-B [Sophos], I-Worm.MTX [AVP], W95/MTX@M [McAfee], PE_Mtx.A [Trend], Win95.Mtx [CA]

種別: ワーム, ウイルス

感染サイズ: 9250（可変）

影響を受けるシステム: Windows 95, Windows 98, Windows Me

影響を受けないシステム: Windows 3.x, Windows NT, Windows 2000, Windows XP, Macintosh, UNIX, Linux

対応日(Intelligent Updater)*	2000/08/28(米国時間)

対応日(Live Update^TM)**	2000/08/28(米国時間)

*	Intelligent Updaterを通じたウイルス定義は随時更新されていますが、そのダウンロードとインストールは手動で行う必要があります。
**	LiveUpdateを通じたウイルス定義は毎週水曜日(米国時間)に更新されています。 LiveUpdateの使い方については、こちらをクリックしてください。

被害状況

感染台数: 1000以上
報告件数: 10以上
地域感染度: 高
対処レベル: 中
駆除: 困難

危険性評価グラフ

被害状況: 中	ダメージ: 中	感染力: 高

ダメージ

発病症状: 一部の感染ファイルを破壊し、修復不能にする
- ファイル改ざん: Windows実行形式ファイル

感染力

メール件名: なし
添付ファイル: 可変（下記参照）
添付ファイルのタイムスタンプ: 新規の電子メールが送信されるとすぐに、件名がない、ワームが添付された2つ目のメールが送信される
添付ファイルのサイズ: 可変

ワームコンポーネント
ワームコンポーネントはWsock32.dllのコピーを作成し、Wsock32.mtxというファイル名を付けます。その後、この.mtxファイルのSendエクスポート関数を、自分自身のコードを参照するように改変します。これにより、ウイルスはユーザが送信した電子メールと同じ宛先に（同じプログラムを使用して）このウイルスに感染したワームのコピーを送信することが可能になります。

下記は、このウイルスがワームを送信する際に使用する可能性があるファイル名の一覧です。メールプログラムによっては、.pifファイルの.pif拡張子部分が表示されない場合があります。

I_wanna_see_you.txt.pif
Matrix_screen_saver.scr
Love_letter_for_you.txt.pif
New_playboy_screen_saver.scr
Bill_gates_piece.jpg.pif
Tiazinha.jpg.pif
Feiticeira_nua.jpg.pif
Geocities_free_sites.txt.pif
New_napster_site.txt.pif
Metallica_song.mp3.pif
Anti_cih.exe
Internet_security_forum.doc.pif
Alanis_screen_saver.scr
Reader_digest_letter.txt.pif
Win_$100_now.doc.pif
Is_linux_good_enough!.txt.pif
Qi_test.exe
Avp_updates.exe
Seicho_no_ie.exe
You_are_fat!.txt.pif
Free_xxx_sites.txt.pif
I_am_sorry.doc.pif
Me_nude.avi.pif
Sorry_about_yesterday.doc.pif
Protect_your_credit.html.pif
Jimi_hendrix.mp3.pif
Hanson.scr
F___ing_with_dogs.scr
Matrix_2_is_out.scr
Zipped_files.exe
Blink_182.mp3.pif

ワームコンポーネントは、 Wsock32.dllを削除し、Wsock32.mtxのファイル名をWsock32.dllに変更するWininit.iniを作成します。Wininit.iniはコンピュータを再起動した後に実行します。 Wininit.ini の作成後、このコンポーネントはウイルスコンポーネントを実行します。

注意: Norton AntiVirusはW95.MTXによって作成されたWininit.iniファイルをW95.MTX.INIとして検出します。

ウイルスコンポーネント
ウイルスコンポーネントは、特定のアンチウイルスプログラムが動作中かどうかを調べ、発見した場合は動作を停止します。それ以外の場合は、ワームコンポーネントを解凍し、そのコピーをユーザのWindowsディレクトリ（通常はC:\Windows）に投下して、それを実行します。投下時のファイル名はle_pack.exeですが、ファイル実行後はWin32.dllというファイル名に変わります。

このウイルスはまた、Mtx_.exeを投下して実行します。これは特定のWebサイト（i.am/[MATRIX]）にアクセスしてウイルスのプラグインをダウンロード、実行するダウンロードプログラムです。また、カレントディレクトリ、Windowsディレクトリ、Tempディレクトリ内のWin32実行形式ファイルを探します。感染対象となるのは、ファイルサイズが101で割り切れない8キロバイト以上のファイルで、20個以上のインポート命令を含むファイルのみです。この条件に適合しないファイルには感染しません。

このウイルスはさらに、システムの起動時に毎回ダウンロードプログラムを自動的に起動させるためのエントリをレジストリに追加します。このダウンロードプログラムはタスクリストに表示されません。

Symantec Security Response では、すべてのユーザと管理者の皆様に対し、基本的なオンライン・セキュリティ対策として日常的に次のことを実行することを奨励しています。

不必要なサービスをすべて無効化するか、あるいは削除する。OS の多くは標準で、FTP クライアント、telnet、Web サーバーなどコンピュータの操作に必ずしも必要ではない付加的なサービスをインストールします。そのような付加的サービスは、攻撃の侵入経路として利用されることが多いため、無効化あるいは削除することによって、攻撃経路をその分少なくすることができ、パッチ適用時にも更新が必要なサービス数を減らすことができます。
1つ、あるいは複数のネットワークサービスが複合型脅威の攻撃を受けた場合には、パッチを適用するまでの一時的な回避策として、攻撃を受けているサービスをオフにするか、そのサービスへのアクセスを遮断する。
常に最新のパッチを適用しておく。特に、公開サービスをホストしていたり、HTTP、FTP、メール、DNS サービスなど、ファイアウォールを介してアクセス可能にしているコンピュータに対しては必ず最新パッチを適用しておくよう心がけてください。
パスワード・ポリシーの徹底。複雑なパスワードを設定しておけば、セキュリティが低下したコンピュータ上に保存しているパスワードファイルの解読を困難にすることができます。また、攻撃を受けた場合でも被害を防止あるいは最小限に抑えることができます。
メールサーバーを、ウイルスが感染拡大を試みる際によく使用するファイル拡張子(.vbs、.bat、.exe、.scr など)が付いた添付ファイルを含むメールをブロックあるいは削除するように設定しておく。
ネットワーク接続しているコンピュータが感染した場合は、他のコンピュータへの感染拡大を防止するために、そのコンピュータをすみやかにネットワークから切り離し、その後、被害を受けたコンピュータに対し被害状況の分析を行ない、信頼できるメディアを使って復旧を図る。
従業員に対し、次のことを徹底させる。
- 予期せぬメールが届いた場合には添付ファイルを絶対に開かない。
- インターネットからダウンロードしたソフトウェアについては、必ずウイルススキャンを実行し、問題がないことが確認できるまでは絶対に起動しない。
- 既知のセキュリティホールに対応するパッチが適用されていない Web ブラウザーを使用している場合は、安全でない Web サイトにアクセスするだけで感染する可能性があることを留意する。

W95.MTXは次の2通りの方法で駆除することができます。

Symantec Security ResponseのW95.MTX駆除ツールを使用する方法
手動による駆除方法

まずはW95.MTX駆除ツールによる方法を実行してみてください。

W95.MTX駆除ツールを使用する方法

Symantec Security ResponseはW95.MTXにより受けたダメージを修復するツールを開発しました。

上記のサイトにアクセスできない場合は、次のサイトからW95.MTX駆除ツールをダウンロードしてください。

http://www.digitalriver.com/symantec/virus（英語）

手動による駆除方法

W95.MTXの駆除は複雑かつ困難です。このウイルスはシステムファイルを改変します。コンピュータによっては、改変されたファイルを修復できないものがあります。場合によっては、ウイルスに感染したファイルの修復を試みた後、必要なシステムファイルをオリジナルのWindowsインストールCDから復元しないとWindowsが起動しなくなることがあります。

注意: このウイルスはWindowsおよび実行形式ファイルを無効にするだけでなく、シマンテックのWebサイトを含む特定のWebサイトへのアクセスを遮断する能力も持っています。この理由から、状況によっては必要なファイルのダウンロード作業の実行に感染していないコンピュータが必要になる場合があります。

以下に記載されている駆除手順はWindowsやDOSの基本的な操作方法に精通していることを前提に記述されています。これらの操作について不安があるお客様は、コンピュータの専門家に作業の代行を依頼することをお勧めします。

注意:

Windows 98ではシステムファイルとほとんどのCD-ROMドライブで動作するドライバが含まれる起動ディスクを作成することができますが、Windows 95ではそのディスクを作成することはできません。以下の手順を始める前に、Windows 98起動ディスクを作成するか、あるいは入手することをお勧めします。このディスクはWindows 95またはWindows 98コンピュータの起動に使用することができます。最初にこのディスクを作成しないまま駆除手順を実行し、かつ、駆除手順の最初の部分を正しく実行できない場合、一部のWindowsファイルは復元できない可能性があります。
このウイルスは以下の駆除手順を実行することで検出され、駆除されるはずです。"mtx"で始まる拡張子または.mtx拡張子を持つファイルが存在するというだけでは、必ずしもこのウイルスに感染しているとは限りません。例えば、mtxdm.dll、mtxoci.dll、twain*.mtx、twunk*.mtxはすべて正規のWindowsプログラムファイルです。

注意:

このウイルスの特性により、一部のファイルは修復不可能です。修復できないファイルは未感染のバックアップファイルまたはオリジナルのディストリビューションディスクから復元してください。
この脅威を駆除する際、Norton AntiVirus (NAV) による検出プロセスを注意深く観察する必要があります。W95.MTXのウイルス部分に感染したファイルはW95.MTXおよびW95.MTX (.dll)として検出されます。W95.MTXまたはW95.MTX (.dll) として検出されたファイルは修復できるはずです。
トロイの木馬部分およびワーム部分に感染しているファイルはW95.MTX.drとして検出されます。W95.MTX.drとして検出されたファイルは必ず削除してください。
W95.MTXのウイルス部分はWindowsのシステムファイルに感染する能力を持っているため、システムファイルを削除すると、Windowsが動作不能になるおそれがあります。この理由により、感染ファイルがウイルスコンポーネントかワームコンポーネントかを正しく見分けるように注意してください。

このウイルスに受けたダメージの修復方法については、次の各セクションの手順にしたがってください。

起動ディスクを作成または入手する
ウイルス定義を最新版に更新する
コンピュータをコマンドプロンプトで再起動する
感染ファイルを削除する
Wsock32.dll、Explorer.exe、Rundll32.exeファイルの新しいコピーを抽出する
レジストリを編集する

起動ディスクを作成または入手するには:

注意: Windowsのインストールファイルがローカルハードドライブに存在することが確実であり、コンピュータをMS-DOSモードで確実に再起動できる場合には、このセクションを省略してもかまいません。詳しくは後述のセクションをご覧ください。

駆除作業を始める前に、Windows 98起動ディスクをあらかじめ作成または入手しておいてください。Windows 95をご使用の場合には、起動ディスクをお近くのコンピュータショップで購入いただける場合があります。Windows 98で起動ディスクを作成するには、次のステップを実行してください。

注意: この作業は必ず感染していないコンピュータ上で行う必要があります。このウイルスに感染しているコンピュータでは絶対に行わないでください。

[スタート]-[設定]-[コントロールパネル]をクリックします。
[アプリケーションの追加と削除]をダブルクリックします。
[起動ディスク]タブをクリックします。
フロッピーディスクドライブに新しい、フォーマット済みのフロッピーディスクを挿入します。
[ディスクの作成]をクリックし、画面に表示される指示に従います。

ウイルス定義を最新版に更新するには:

コンピュータにNorton AntiVirusをインストールし、ウイルス定義を2000年9月5日以降のバージョンに更新してください。すでにウイルス定義を最新版に更新済みの場合には、次のセクションへ進んでください。ウイルス定義が最新版に更新されていない場合、LiveUpdateまたはSymantec Security Response Webサイトからウイルス定義のダウンロードを実行することは不可能です。その場合には状況に応じて、次の手順を実行してください。

未感染のコンピュータをお持ちの場合、Symantec Security Response Webサイトから最新版のウイルス定義をダウンロードし、ウイルス定義ファイルを感染しているコンピュータにインストールします。詳しくは、次のドキュメントをご覧ください。
- Intelligent Updater を使用してウィルス定義をアップデートする方法
- インターネットやネットワーク接続のないコンピュータのウィルス定義をアップデートする方法に関して
未感染のコンピュータを持っていない場合には、次の方法でウイルス定義を最新版に更新することができます。
　　　
- 数値Webアドレスを使ってシマンテックのWebサイトにアクセスします。数値アドレスは下記のとおりです。
  
  208.226.167.17
  
  この方法による具体的なアクセス手順についてはドキュメント、ウイルス感染の結果シマンテックのWebサイトに接続できなくなった場合に最新版のウイルス定義ファイルに更新するにはをご覧ください。

コンピュータをコマンドプロンプトで再起動するには：

コンピュータをコマンドプロンプトで再起動する必要があります。ご使用のOSに応じて次のうちいずれかの手順に従ってください。

Windows 95
　　
1. [スタート]ボタンを押し、[Windowsの終了]をクリックします。[Windowsの終了]ダイアログボックスが表示されます。　　
2. [コンピュータを再起動する]を選択して、[はい]をクリックします。Windowsが終了し、コンピュータが再起動します。　　
3. 「Starting Windows 95...」というメッセージが画面上に表示されたら、F8キーを押します。Windows95 StartUp Menuが表示されます。
4. Command prompt onlyに該当する番号を選択して、Enterキーを押します。
Windows 98
　　
1. [スタート] ボタンを押し、[Windowsの終了]をクリックします。[Windowsの終了]ダイアログボックスが表示されます。
2. [コンピュータを再起動する]を選択して、[OK]をクリックします。Windowsが終了し、コンピュータが再起動します。
3. コンピュータが再起動時に Windows 98 Startup Menuが表示されるまで、Ctrlキーを押しつづけます。
  
  注意: 一部のコンピュータでは、再起動時にCtrlキーを押しているときにキーボードエラーまたは他のエラーが表示される場合があります。その場合、作業を続行するために、キー（例えば、Escキーを押すように指示されることがあります）を押し、その後すぐにCtrlキーを再度押してください。
  　
4. Command prompt onlyに該当する番号を選択して、Enterキーを押します。

感染ファイルを削除するには：

次の手順に従って、感染ファイルを削除してください。

注意: 以下の手順はWindowsが標準のC:\Windowsにインストールされていることを前提に記載されています。Windowsを異なる場所にインストールしていた場合、パスを適宜置き換えてください。

次のコマンドを1つずつ入力します。一行入力するたびにEnterキーを押してください。

　cd \windows
　set path=c:\windows\command
　attrib -r -s -h *.*
　del ie_pack.exe
　del win32.dll
　del mtx_.exe
　del wininit.ini

注意: コマンドを入力した際に"ファイルが見つかりません" と表示された場合、コマンドが記載通りに入力されているか確認してください。
Norton AntiVirus DOSスキャナのパスが表示されます。NAVを別のドライブにインストールしていた場合は、最初に、そのドライブのルートに切替えてください。
Navdx.exeがインストールされているフォルダに移動します。
次のうちいずれかのコマンドを入力し、Enterキーを押します。

注意: お使いのコンピュータの仕様によっては、スキャンに数時間以上かかる場合があります。いったんスキャンを開始したら、絶対に停止しないでください。

備考：DOSベースのスキャナでスキャンを実行する場合、ウイルス発見時に次のうちいずれかの操作を実行させることができます。
- 感染ファイルとして検出されたファイルに対する対処方法の確認メッセージを表示させるには、次のコマンドを入力し、その後、Enterキーを押します。
  
  navdx /a /doallfiles /prompt
  
  感染ファイルごとに、R)epair(修復）、D)elete(削除）、またはC)ontinue（続行）を押す必要があります。このオプションを選択していて、NAVが感染ファイルを修復できなかった場合は、「ファイルを修復できません」というメッセージと、上記3つの選択肢が再度表示されます。該当ファイルが感染していないことが確かな場合を除いては、D)eleteを選択してください。
- 感染ファイルとして検出されたファイルを削除するには、次のコマンドを入力し、その後、Enterキーを押します。
  
  navdx /a /doallfiles /delete
  
  この操作の短所は、修復可能なファイルまで削除されてしまうことです。
- 感染ファイルとして検出されたファイルを修復するには、次のコマンドを入力し、Enterキーを押します。
  
  navdx /a /doallfiles /repair
  
  注意：NAVがファイルを修復できない場合にこのオプションを選択すると、そのファイルに対しては何も行われません。つまり、感染ファイルがシステム上にそのまま残ってしまいます。このオプションを選択した場合は、上記コマンドのスイッチを/deleteに置き換え、Navdxを再度実行する必要があります。
スキャンが終了したら、次のセクションに進みます。

sock32.dll、Explorer.exe、Rundll32.exeファイルの新しいコピーを抽出するには：

これらのファイルはウイルスに感染している可能性が高く、またインターネットへのアクセスおよびコンピュータの使用上重要な役割を持っているため、必ず新規のコピーを抽出して置き換える必要があります。その場合は必ず、DOSプロンプトでExtractコマンドを使って、Windowsのインストールファイルから感染していないクリーンなファイルを使用して復元する必要があります。

このファイルは、次の2箇所から抽出することができます。

ハードディスク上のWindowsインストールファイル。最近の多くのコンピュータでは、Windowsインストールファイルが入った.cabファイルがコンピュータのハードディスク上に格納されています。このファイルの存在が確認できている場合は、後述の「ハードディスクに保存されているファイルを抽出する方法」セクションをご覧ください。
Microsoft Windows 95/98インストール CD。ハードディスク上に.cabファイルが存在しない場合には、後述の「インストールCDからファイルを抽出する方法」セクションをご覧ください。

注意: Windows 95をご使用、または Windows 95からWindows 98へアップグレードしている場合、次の注意事項をお読みください。

Windows 95をご使用で、何らかの時点でInternet Explorer 4.0以降をインストールしていた場合、Explorer.exeファイルの抽出が正常に行われない可能性があります。これはInternet ExplorerのインストーラがExplorer.exeおよび他のファイルを新しいバージョンで置き換えるためです。ほとんどの場合、以前のファイルはインストーラによって更新された他のファイルと相性良く動作しないため、.cabファイルからExplorer.exeファイルのみを置き換えると動作が不安定になる可能性があります。そのような状況に陥った場合には、Windows 95を完全に再インストールするか、もしくはWindows 98以降のバージョンにアップデートする必要が生じる可能性があります。
indows 95から Windows 98へアップグレードしていた場合、ハードディスク上のキャビネットファイルが Windows 98 バージョンであるという確信がない限り、ハードディスクではなくインストールCDからファイルを抽出してください。

注意:

このセクションで説明している手順は、便宜上提供しているものです。Windowsファイルの抽出には、Microsoft社製のプログラムとコマンドを使用します。シマンテックでは、マイクロソフト製品に対する保証もサポートも提供しておりません。Microsoft製品に関しては、Microsoftへ直接お問い合わせください。
WindowsインストールCDには多数のバージョンが出回っています。バージョンによって.cabファイル内での必要なファイルがある場所は異なります。以下の手順で使用するコマンドは、抽出プログラムによる抽出をどこから開始するかを指定しますが、そのコマンドには"/a" スイッチも含まれています。これにより、抽出プログラムは開始位置以降のキャビネットファイルを必要なファイルが見つかるまで順に調べてゆきますが、その前の.cabファイルの中は検索しません。例えば、Windows 98のコマンド、extract /a win98_40.cab explorer.exe /L c:\windowsは.cab 40から検索を開始し、.cab 41に続いてそれ以降というように検索してゆきますが、.cab 39以前のファイルは検索しません。

Windows 98.cabファイルは通常21から始まり、70番台前半(通常は74)で終わります。ほとんどの場合、必要なファイルは.cab 44または45にあるため、ここでは.cab 40から検索を開始します。これにより必要なファイルの検索をスピードアップすることができます。標準形式とは異なるバージョンのWindowsインストールファイルをお持ちの場合、それに応じてコマンドも合わせる必要があります。例えば、Windows 98を使用していて、extract /a win98_40.cab explorer.exe /L c:\windowsコマンドを正しく入力して実行してもexplorer.exeファイルを探し出すことができない場合、検索するファイルの番号を変更してみてください（例：extract /a win98_20.cab explorer.exe /L c:\windows）。

ハードディスクに保存されているファイルを抽出する方法：

dir /s /b \precopy1.cabと入力し、その後、Enterキーを押します。これにより、Win98_31.cabファイルへのパスが表示されます。このファイルが見つからない場合、.cabファイルはハードディスク上に存在しないと思われます。その場合、「インストールCDからファイルを抽出する方法」セクションへ進んでください。
Precopy1.cabファイルが保存されているフォルダに切り替えます。
ご使用のOSに応じて、次のいずれかの操作を実行してください。

注意:

Windows 98をご使用の場合、次のコマンドを入力します。一行入力するたびにEnterキーを押してください。

extract /a precopy1.cab wsock32.dll /L c:\windows\system
extract /a win98_40.cab explorer.exe /L c:\windows
extract /a win98_40.cab rundll32.exe /L c:\windows
Windows 95をご使用の場合、次のコマンドを入力します。一行入力するたびにEnterキーを押してください。

extract /a win95_10.cab wsock32.dll /L c:\windows\system
extract /a win95_10.cab explorer.exe /L c:\windows
extract /a win95_10.cab rundll32.exe /L c:\windows

エラーメッセージが何も表示されなければ、抽出プロセスが完了したことになります。その後、「レジストリの編集方法」セクションに進んでください。

インストールCDからファイルを抽出する方法：

備考：

下記の手順は、一般に最も広く配布されているバージョンのWindows 95/98 CDを前提にした内容になっています。ただし、Windows 95/98 CDには数多くのバージョンが存在し、中にはフロッピーディスクで配布されているものもあります。バージョンによって.cabファイルの保存場所が異なっていたり、また必要なファイルが別の.cabファイル内に存在する可能性があります。ここでは、全バージョンの手順は含まれていないことをあらかじめご了承ください。
ご使用のWindows インストールCDのパスが、このセクションで使用するコマンドに含まれるパスと一致しない場合、コマンドのパス部分をお持ちのバージョンのパスに変更する必要があります。また、抽出が必要なファイルを含む.cabファイルの場所を確認しておく必要があります。詳しくは、特定のWindowsファイルが保存されているキャビネットファイルを特定する方法をご覧ください。
1. フロッピーディスクドライブにWindows 98起動ディスクを挿入します。
2. CD-ROMドライブにWindows 98インストールCDを挿入します。
3. コンピュータの電源を切り、30秒間待ちます。
4. コンピュータの電源を入れます。スタートアップメニューが表示されます。
5. 標準メニュー項目は、[Start Computer with CD-ROM Support（CD-ROMサポートでコンピュータを起動）]です。この項目が選択された状態で、Enterキーを押します。
6. コンピュータが起動し、A:\>プロンプト画面が表示されます。この動作が完了するまでには、数分間かかることがあります。
7. 次に行うことはCD-ROMドライブに切替えることですが、ここでは起動ディスクを使用しているため、通常のCD-ROMドライブに割り当てられているドライブレターの次の文字を使用する必要があります。例えば、CD-ROMドライブがWindowsの通常モードではDドライブに割り当てられている場合には、Eドライブに切り替えてください
  
  次のコマンドを入力し、必要に応じてドライブレターを変更し、Enterキーを押します。
  
  e:\win98 (Windows 98インストールディスクを使用している場合)
  
  または
  
  e:\win95 (Windows 95インストールディスクを使用している場合)
  
  エラーメッセージが表示された場合は、ドライブレター（例：f:\win98など）を変更してコマンドを再入力してみてください。
  
  　
8. ご使用のWindowsのバージョンに応じて、次のいずれかの操作を実行します。
  注意：
  - コマンド入力後、「ファイルが見つかりませんでした」というメッセージが表示される場合、コマンドを記載通りに入力したか確認してください。　　
  - ファイルを上書きするかどうか尋ねるメッセージが表示された場合は、[はい]を意味するYキーを押し、Enterキーを押してください。　　　
  - Windowsを上記とは別の場所にインストールしていた場合は、パス部分は適宜変更してください。
  注意：C:\Windowsのように、抽出するファイルの保存先を入力する場合は特に注意が必要です。存在しないフォルダを指定した場合、extractコマンドは確認メッセージを表示せずに新しいフォルダを作成し、その場所にファイルを抽出します。その場合、感染しているWindowsのシステムファイルは上書きされないことになります。
  - Windows 98をご使用の場合、次のコマンドを入力します。一行入力するたびにEnterキーを押してください。
    
    extract /a precopy1.cab wsock32.dll /L c:\windows\system
    extract /a win98_40.cab explorer.exe /L c:\windows
    extract /a win98_40.cab rundll32.exe /L c:\windows
    　
  - Windows 95をご使用の場合、次のコマンドを入力します。一行入力するたびにEnterキーを押してください。
    
    extract /a win95_10.cab wsock32.dll /L c:\windows\system
    extract /a win95_10.cab explorer.exe /L c:\windows
    extract /a win95_10.cab rundll32.exe /L c:\windows

エラーメッセージが何も表示されなければ、抽出プロセスが完了したことになります。「レジストリの編集方法」セクションに進んでください。

レジストリの編集方法：

次の手順に従って、ウイルスによってレジストリに追加されたエントリを削除してください。

注意：システムレジストリに変更を行なう際には、事前にバックアップを作成することを強くお勧めします。レジストリに不適切な変更を行なうと、データの喪失やファイルの破損など修復不可能な問題が生じる可能性があります。指定されたキーのみを修正するよう注意してください。レジストリの編集作業を始める前に必ず「レジストリのバックアップ方法」をお読みください。

フロッピーディスクドライブからフロッピーディスクを取り出します。
インストールCDから必要なファイルを抽出した場合、CD-ROMドライブからCDを取り出します。
コンピュータの電源を切り、30秒間待ちます。
コンピュータの電源を入れてWindowsを起動します。

注意: 通常、この時点でエラーメッセージが表示されます。「Windowsは...（ウイルスファイル）を検出できません」というメッセージが表示されますが、これらのメッセージは無視してください。これは次の手順で削除するレジストリのエントリが現時点では残っているため表示されるもので、コンピュータがまだこのウイルスに感染しているという意味ではありません。
　
[スタート]ボタンを押し、[ファイル名を指定して実行]をクリックします。[ファイル名を指定して実行]ダイアログボックスが表示されます。
regeditと入力し、[OK]をクリックします。レジストリエディタが開きます。
次のサブキーを探して選択します。

HKey_Local_Machine\Software\[Matrix]
Deleteキーを押し、確認メッセージが表示されたら、[はい]をクリックします。
次のサブキーを探して選択します。

HKey_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Run
画面右側で次の値を削除します。

SystemBackup C:\WINDOWS\MTX_.EXE
確認メッセージが表示されたら、[はい]をクリックします。
画面左側で、[マイコンピュータ]キーをクリックします。
[編集]-[検索]をクリックします。
[検索する値]ボックスにmtxと入力し、[次を検索]をクリックします。
検索結果に応じて次のいずれかを実行します。
- mtxという文字列を含むエントリが発見されなかった場合、次のステップへ進みます。
- Mtx_.exeを参照しているエントリが発見された場合、そのエントリを削除する必要があります。ただし文字列検索のため、その文字が含まれている正規のプログラムを検出する可能性もあります。そのため、必ず発見されたエントリがMtx_.exeファイルであることを確認した上で、削除を行ってください。Mtx_.exeを参照しているエントリが発見された場合、F3キーを押して検索を続け、エントリが表示されなくなるまで繰り返し作業を行ってください。
今度は[MATRIX]を検索し、発見されたエントリをすべて削除します。
　17. [レジストリ]-[レジストリエディタの終了]をクリックして変更を保存し、レジストリエディタを終了します。
コンピュータを再起動します。