発見日: July 13, 2011
更新日: July 11, 2013 7:40:30 AM
種別: Removal Information

このツールは、 Trojan.Zeroaccesshttp://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2011-071314-0410-99 の感染を駆除するために設計されました。 重要: ネットワークから感染を駆除する場合は、最初にすべての共有が無効になっているか、読み取り専用に設定されていることを確認してください。 ツールのダウンロードと実行方法 重要: Windows XP、Windows Vista、または Windows 7 上でこのツールを実行するには、管理者権限を持っている必要があります。 ネットワーク管理者への注意事項: MS Exchange 2000 Server を実行している場合は、コマンドラインから Exclude スイッチを使ってツールを実行することによって、M ドライブをスキャンから除外することを推奨します。詳細については、マイクロソフト社のサポート技術情報「 http://support.microsoft.com/kb/298924/jaExchange 2000 の M ドライブのバックアップまたはスキャンを行うと問題が発生する」(文書番号 298924) を参照してください。このツールをダウンロードして実行するには、次の手順に従ってください。 Trojan.Zeroaccess Removal Toolhttp://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/FixZeroAccess.exe から FixZeroAccess.exe ファイルをダウンロードします。このファイルを、Windows のデスクトップなどの使いやすい場所に保存します。オプション: デジタル署名の正当性をチェックするには、この文書の「デジタル署名」のセクションを参照してください。 注意: このツールをセキュリティレスポンスの Web サイトからダウンロードしていることが確実である場合は、この手順は省略できます。不明な場合、またはネットワーク管理者として導入前にファイルを認証する必要がある場合は、手順 4 に進む前に「デジタル署名」のセクションの手順を行います。 すべての実行中のプログラムを終了します。Windows XP を実行している場合は、システムの復元機能を無効にします。システムの復元機能を無効にする方法については、Windows のマニュアル、または次の文書を参照してください。 ダウンロードしたファイルを選択します。FixZeroAccess.exe ファイルをダブルクリックして、駆除ツールを起動します。 [スタート] をクリックしてプロセスを開始し、ツールの実行を許可します。ツールの指示に従ってコンピュータを再起動してください。コンピュータが再起動した後、ツールによって感染状況が報告されます。Windows XP を実行している場合は、システムの復元機能を有効に戻します。LiveUpdate を実行して、最新のウイルス定義を適用していることを確認します。ツールの実行が完了すると (手順 10)、コンピュータが脅威に感染しているかどうかを報告するメッセージが表示されます。 ツールによる処理 この駆除ツールは、次の処理を行います。関連プロセスを終了させる関連ファイルを削除する隠しパーティションが検出された場合、無条件に削除する デジタル署名 セキュリティ上の目的で、このツールはデジタル署名されています。シマンテックでは、シマンテックセキュリティレスポンスの Web サイトから直接ダウンロードした駆除ツールのコピーのみを使うことを推奨します。不明な場合、またはネットワーク管理者で導入前にファイルを認証する必要がある場合は、デジタル署名の正当性をチェックする必要があります。次の手順に従ってください。 こちらのサイトhttp://www.wmsoftware.com/free.htm (英語) に移動します。駆除ツールを保存したフォルダと同じフォルダに、Chktrust.exe ファイルをダウンロードして保存します。 注意: 以下の手順の大半は、コマンドプロンプトで行います。駆除ツールを Windows のデスクトップにダウンロードした場合は、最初にこのツールを C ドライブのルートに移動すると、より簡単に作業が行えます。次に、Chktrust.exe ファイルも C ドライブのルートに保存します。(手順 3 では、駆除ツールと Chktrust.exe の両方が、C ドライブのルートに存在すると想定しています。) [スタート]、[ファイル名を指定して実行] の順にクリックします。cmd と入力します。 [OK] をクリックします。コマンドウィンドウで、次のコマンドを入力し、各行末で Enter キーを押します。 cd\ cd downloads chktrust -i FixZeroAccess.exe ご使用のオペレーティングシステムに応じて、次のいずれかが表示されます。 Windows XP SP2:Trust Validation Utility ウィンドウが表示されます。[Publisher] の下の Symantec Corporation のリンクをクリックします。デジタル署名の詳細が表示されます。 次のフィールドの内容を確認して、このツールが正規のものであるかを確認します。 Name: Symantec Corporation Signing Time: 12/07/2011 00:05:46 その他のオペレーティングシステム: 次のメッセージが表示されます。 「Do you want to install and run "FixZeroAccess.exe" signed on Wednesday, December 7, 2011 00:05:46 and distributed by Symantec Corporation?」 注意: 上記のデジタル署名内の日時は、太平洋標準時刻に基づいています。これらはご使用のコンピュータのタイムゾーンと地域オプションの設定に応じて調節されます。サマータイムを使用している場合、表示される時刻はちょうど 1 時間早くなります。 このダイアログボックスが表示されない場合は、次の 2 つの理由が考えられます。このツールがシマンテックから提供されたものでない場合: このツールが正規のものであり、正規のシマンテック Web サイトからダウンロードしたことを確認できない場合は、このツールを実行しないでください。 このツールがシマンテックから提供された正規のものである場合: ご使用のオペレーティングシステムは、すでにシマンテックからの内容を常に信頼することに同意しています。確認ダイアログを再度表示する方法については、「 Restoring the Publisher Authenticity confirmation dialog boxhttp://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2002072208414439?OpenDocument」(英語)を参照してください。 ダイアログボックスを閉じるには、[Yes (はい)] または [Run (実行)] をクリックします。exit と入力し、Enter キーを押します。(これにより、MS-DOS セッションが閉じられます。) 注意: この駆除ツールを使用して感染したルートキットドライバの修復/置き換えができない場合は、手動で復元する必要があるというメッセージが表示されます。 手動による感染ドライバの復元 感染したドライバを手動で復元するには、コンピュータを再起動して Windows 回復コンソールを実行する必要があります。この実行方法の詳細については、マイクロソフトサポート技術情報の 「 Windows XP での回復コンソールのインストールおよび使用方法http://support.microsoft.com/kb/307654/ja」を参照してください。Windows XP/Vista/7 CD-ROM を CD-ROM ドライブに挿入します。 CD-ROM ドライブからコンピュータを再起動します。XP: セットアップの開始」画面が表示されたら、R キーを押して回復コンソールを起動します。 Vista/7: 画面に表示される指示に従い、[次へ]、[コンピューターを修復する] の順にクリックします。 回復コンソールからアクセスしたいインストールを選択します。XP: Administrator のパスワードを入力し、[Enter] を押します。 Vista/7: 要求された場合は、ユーザー名とパスワードを入力します。 (Vista/7 ユーザーはこの手順に従う前に、まず [Command Prompt] を選択します) 次のコマンドを入力し、各コマンドの後に[Enter] を押します。 cd %System% [DLL FILE] またはcd %System%\drivers [SYS FILES]expand [CD/DVD DRIVE]:\i386\[検出されたファイル名][dl or sy]_例: cd c:\windows\system32\driversexpand d:\i386\atapi.sy_ 影響を受けた SYS ファイルに対して、個別に上記ステップを実行してください。影響を受ける可能性があるファイルのリストは、「テクニカルノート」セクションを参照してください。exit と入力します。Enter キーを押します。コンピュータが自動的に再起動します。