発見日: January 13, 2009
更新日: July 27, 2009 11:32:11 AM
種別: Removal Information

このツールは、次の感染を駆除するように設計されています。



重要:
  • コンピュータがネットワーク上にある場合や DSL や ケーブルモデムなどのインターネットの常時接続を行っている場合は、ネットワークやインターネットからそのコンピュータの接続を切断します。コンピュータをネットワークやインターネットへ再接続する前に、ファイル共有を無効するか、パスワードでプロテクトする、または共有ファイルを読み取り専用に設定します。このワームはネットワーク化されたコンピュータ上の共有フォルダを使って拡散するため、駆除後コンピュータがこのワームに再度感染しないように、シマンテックでは共有を読み取り専用アクセスにするか、パスワードによるプロテクトを使用することを推奨します。

    この実行方法については、Windows のマニュアル、または次の文書を参照してください。「共有フォルダをネットワーク上のウイルスから保護する方法

    この脆弱性およびそれを解決する修正プログラムについて詳しくは、次の文書を参照してください。
    Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability」 (BID 31874)(英語)


  • ネットワークから感染を駆除する場合は、最初にすべての共有が無効になっている、または読み取り専用に設定されていることを確認します。

  • このツールは、Novell NetWare サーバー上で実行するようには設計されていません。Novell NetWare サーバーからこの脅威を駆除するには、最初に最新のウイルス定義を確認し、シマンテックウイルス対策製品を使用してシステムの完全スキャンを実行します。

ツールのダウンロードと実行方法

重要: Windows NT 4.0、Windows 2000、Windows XP 上でこのツールを実行するには、管理者権限を所有している必要があります。

ネットワーク管理者への注意事項: MS Exchange 2000 Server を実行している場合は、Exclude スイッチでコマンドラインからツールを実行して、M ドライブをスキャンから除外することを推奨します。詳細については、Microsoft 社のサポート技術情報: 「Exchange 2000 の M ドライブのバックアップまたはスキャンを行うと問題が発生する 」(文書番号 320159)を参照してください。

このツールをダウンロードして実行するには、次の手順を実行します。
  1. http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/D.exe」 から D.exe ファイルをダウンロードします。
  2. Windows のデスクトップなどの便利な場所に、このファイルを保存します。
  3. オプション: デジタル署名の正当性をチェックするには、この文書で後述する「デジタル署名」のセクションを参照します。

    注意: このツールがセキュリティレスポンスの Web サイトからダウンロードされている確認が取れる場合は、この手順は省略できます。確認できない、またはネットワーク管理者として導入前にファイルを認証する必要がある場合は、手順 4 へ進む前に「デジタル署名」のセクションの手順を行います。

  4. 起動しているすべてのプログラムを終了します。
  5. ネットワーク上にある場合、またはインターネットへの常時接続を行っている場合は、コンピュータをネットワークやインターネットの接続から切断します。
  6. Windows Me または XP を実行している場合は、システムの復元機能を無効にします。システムの復元機能を無効にする方法については、お手持ちの Windows のマニュアルまたは下記の文書を参照してください。

    Windows Me のシステムの復元機能を有効/無効にする方法

    Windows XP のシステムの復元機能を有効/無効にする方法

  7. ダウンロードしたファイルを選択します。
  8. D.exe ファイルをダブルクリックして、駆除ツールを開始します。
  9. [スタート]をクリックしてプロセスを開始し、ツールを実行させておきます。

    注意: ツールの実行時に何らかの問題が生じた場合や脅威を削除していないと思われる場合は、「コンピュータをセーフモードで起動する方法」を参照してコンピュータをセーフモードで再起動し、このツールを再度実行してください。

  10. コンピュータを再起動します。
  11. システムがクリーンであることを確認してから、駆除ツールを再び実行します。
  12. Windows Me または XP を実行している場合は、システムの復元機能を有効に戻します。
  13. 通常ネットワーク上にある場合、またはインターネットへの常時接続を行っている場合は、コンピュータをネットワークまたはインターネットへ再接続します。
  14. LiveUpdate を実行して、最新のウイルス定義を使用していることを確認します。

ツールの実行が終了すると、ご利用のコンピュータがこの脅威に感染していたかどうかを示すメッセージが表示されます。このツールは次のような結果を表示します。
  • スキャンしたファイルの数
  • 削除したファイルの数
  • 修復したファイルの数
  • 終了させたウイルスプロセスの数
  • 修復したレジストリエントリの数
このツールが実行すること
この駆除ツールは、次のことを実行します。
  • 関連するプロセスの終了
  • 関連するファイルの削除
  • 脅威によって追加されたレジストリ値の削除
スイッチ
次のスイッチは、ネットワーク管理者が使用するために設計されています。
/HELP, /H, /?
ヘルプメッセージを表示します。
/NOFIXREG
レジストリの復元を無効にします(このスイッチの使用については推奨しません)。
/SILENT, /S
サイレントモードを有効にします。
/LOG=[パス名]
ログファイルを作成します。[パス名] は、このツールによる出力を保存するための場所です。このスイッチはデフォルトで、この駆除ツールの実行元と同じフォルダ内にログファイル(FixDwndp.log) を作成します。
/MAPPED
マップされたネットワークドライブをスキャンします。(このスイッチの使用を推奨しません。以下の「注意:」を参照してください。)
/START
このツールがスキャンを直ちに開始するように強制します。
/EXCLUDE=[パス]
指定された [パス] をスキャンから除外します。(このスイッチの使用を推奨しません。以下の「注意:」を参照してください。)
/NOCANCEL
駆除ツールのキャンセル機能を無効にします。
/NOFILESCAN
ファイルシステムのスキャンを防ぎます。
/NOVULNCHECK
[パッチが適用されていないファイルの確認]を無効にします。

重要: マップされたドライブのスキャンは、マップされたフォルダのみをスキャンするため、/MAPPED スイッチを使用してもリモートコンピュータでウイルスの完全な駆除を確認しません。そのため、
  • リモートコンピュータのすべてのフォルダを含まない恐れがあるので、検出の失敗につながる可能性があります。
  • ウイルスファイルがマップされたドライブで検出され、リモートコンピュータのプログラムがこのファイルを使用した場合、駆除は失敗します。
そのため、コンピュータごとにツールを実行する必要があります。

/EXCLUDE スイッチは、単一のパスでのみ機能します。複数のパスでは機能しません。代わりの方法として、/NOFILESCAN スイッチの後で、ウイルス対策製品を使って手動でスキャンする方法があります。これにより、ツールがレジストリを変更します。その後、最新のウイルス定義と共にウイルス対策製品を使ってコンピュータをスキャンします。これらの手順を行うことによって、ファイルシステムをクリーンな状態にできます。

単一のドライブを除外するために使用可能なコマンドラインについての例は次の通りです。

"C:\Documents and Settings\user1\Desktop\D.exe" /EXCLUDE=M:\ /LOG=c:\FixDwndp.txt

また下記のコマンドラインでは、ファイルシステムのスキャンをスキップしますが、レジストリの変更を修復します。その後、正しい除外方法でシステムの通常のスキャンを実行します。

"C:\Documents and Settings\user1\Desktop\D.exe" /NOFILESCAN /LOG=c:\FixDwndp.txt

注意: ユーザーは、ログファイルに名前を付けて、いずれかの場所に保存ができます。

デジタル署名
セキュリティについては、この駆除ツールはデジタル署名済みです。シマンテックでは、ユーザーがシマンテックセキュリティレスポンスの Web サイトから直接ダウンロードした駆除ツールのコピーのみを使うことを推奨します。

確認が取れない場合、またはネットワーク管理者で導入前にファイルを認証する必要がある場合は、デジタル署名の正当性をチェックする必要があります。

以下の手順を実行します。
  1. http://www.wmsoftware.com/free.htm」 に移動します。
  2. 駆除ツールを保存する同じフォルダに、Chktrust.exe ファイルをダウンロードして保存します。

    注意: 次のほとんど手順は、コマンドプロンプトで行います。駆除ツールを Windows のデスクトップへダウンロードした場合は、まず最初にこのツールを C ドライブのルートへ移動すると、より簡単になります。それから Chktrust.exe ファイルを C のルートにも保存します。

    (手順 3 では、駆除ツールと Chktrust.exe の両方が、C ドライブのルートに存在すると想定しています。)

  3. [スタート]、[ファイル名を指定して実行]の順にクリックします。
  4. ご利用のオペレーションシステムに応じて、次を入力します。

    Windows 95/98/Me:
    command

    Windows NT/2000/XP:
    cmd

  5. [OK] をクリックします。
  6. コマンド画面で、ラインごとに次のコマンドを入力し、[Enter] キーを押します。

    cd\
    cd downloads
    chktrust -i D.exe

  7. オペレーションシステムに応じて、次のメッセージを参照します。

    Windows XP SP2:
    Trust Validation Utility ウィンドウが表示されます。

    [Publisher(発行元)] の下の [Symantec Corporation リンク] をクリックします。デジタル署名の詳細が表示されます。
    次のフィールドの内容を確認して、このツールが正規のものであるかを確認します。

    名前: Symantec Corporation
    署名時刻: 2009 年 5 月 2 日、08:25:37 AM

    その他のオペレーションシステム:
    次のメッセージを参照する必要があります。

    2009年 5 月 2 日、8:25:37 AM に署名され Symantec Corporation から配布されています。「D.exe」 をインストールして実行しますか?

    注意:
    上記のデジタル署名内の日時は、太平洋標準時刻に基づいています。これらは、お使いのコンピュータのタイムゾーンと地域オプションの設定に調節されます。

    サマータイムを使用している場合、表示される時刻は ちょうど 1 時間早くなります。

    このダイアログボックスが表示されない場合は、次の 2 つの理由が考えられます。

    このツールがシマンテックから提供されていない正規のものではない場合: このツールが正規のものであり、正規のシマンテック Web サイトからダウンロードした確認が取れない限り、このツールを実行すべきではありません。

    このツールがシマンテックから提供された正規のものである場合: ご利用のオペレーティングシステムは、既にシマンテックからの内容を常に信頼することに同意しています。再び確認ダイアログを表示させる方法の詳細については、「How to restore the Publisher Authenticity confirmation dialog box」 の文書を参照してください。

  8. ダイアログボックスを閉じるには、[はい]または[実行]をクリックします。
  9. [exit] と入力してから、 [Enter] キーを押します。 (これにより、MS-DOS セッションが閉じられます。)