1. Symantec/
  2. セキュリティレスポンス/
  3. W32.Sober Removal Tool
  4. W32.Sober Removal Tool
  • ブックマーク

W32.Sober Removal Tool

発見日:
2003 年 10 月 29 日
更新日:
2007 年 2 月 13 日 11:35:33 AM
種別:
Removal Information


Symantec Security Response は、次の W32.Sober の亜種の感染を除去する駆除ツールを開発しました。

W32.Sober@mm
W32.Sober.B@mm
W32.Sober.C@mm
W32.Sober.D@mm
W32.Sober@mm.enc
W32.Sober.gen
W32.Sober.E@mm
W32.Sober.F@mm
W32.Sober.G@mm
W32.Sober.I@mm
W32.Sober.L@mm
W32.Sober.N@mm
W32.Sober.O@mm
W32.Sober.Q@mm
W32.Sober.V@mm
W32.Sober.W@mm
W32.Sober.X@mm


注意: W32.Sober.gen は、W32.Sober の亜種を検出する汎用検出名です。ご使用のコンピューターで W32.Sober.gen の感染として検出された場合には、このツールをダウンロードして実行してください。ほとんど場合、このツールはこの感染を駆除することができます。


このツールが行うこと

W32.Sober 駆除ツールは、次のことを行います。
  1. W32.Sober のウイルスプロセスを終了させます。
  2. W32.Sober ファイルを削除します。
  3. 投下されたファイルを削除します。
  4. ワームが追加したレジストリ値を削除します。

このツールで使用可能なコマンドラインのスイッチ


スイッチ

説明

/HELP, /H, /?

ヘルプメッセージを表示します。

/NOFIXREG

レジストリの修復を無効にします。(このスイッチの使用は推奨されません。)

/SILENT, /S

サイレントモードを有効にします。

/LOG=[パス名]

ログファイルを作成します。[パス名] は、ツールの出力を保存するロケーションです。 デフォルトでは、このスイッチは、ログファイル FxSobr.log をこの駆除ツールの実行元と同じフォルダ内に作成します。

/MAPPED

マップされたネットワークドライブをスキャンします。(このスイッチの使用は推奨されません。以下の「注意」を参照してください。)

/START

ツールがスキャンを即時に実行するように強制します。

/EXCLUDE=[パス]

指定された [パス] をスキャンから除外します。(このスイッチの使用は推奨されません。)

/NOFILESCAN

ファイルシステムのスキャンを防ぎます。



注意:
  • Symantec Security Response は、この駆除ツールを始めて実行するときは、/NOFIXREG スイッチを使用しないことを強くお薦めします。このスイッチを使用してこの駆除ツールを実行すると、このツールを再度実行することによってこのワームに関連付けられているレジストリキーを削除できなくなります。
  • /MAPPED スイッチを使用すると、リモートコンピューター上のウイルスを完全に駆除できる確証がなくなります。理由は次のとおりです。
    • マップされたドライブのスキャンでは、マップされたフォルダのみをスキャンします。これにはリモートコンピューター上のすべてのフォルダが含まれない可能性があり、検出されなくなる可能性があります。
    • マップされたドライブ上でウイルスファイルが検出される場合、リモートコンピューター上のプログラムがこのファイルを使用すると、駆除は失敗します。

      そのため、このツールをすべてのコンピューター上で実行する必要があります。


ツールの入手と実行


注意: Windows NT 4.0、Windows 2000、Windows XP 上でこのツールを実行する場合は、管理者権限を持っている必要があります。


警告: ネットワーク管理者へ: MS Exchange 2000 Server を実行している場合は、コマンドラインから Exclude スイッチを使用してツールを実行することによって、M ドライブをスキャンから除外することを推奨します。詳細にいては、マイクロソフト サポート技術情報 - 298924「Exchange 2000 のドライブ M をバックアップまたはスキャンを行うと問題が発生する をご参照ください。

  1. 下記のサイトから、FixSbr.exe ファイルをダウンロードします。 http://securityresponse.symantec.com/avcenter/FixSbr.exe
  2. このファイルを Windows デスクトップのダウンロードフォルダなどの便利な場所に (または、可能であれば、感染していないことが分かっているリムーバブルメディアに) 保存します。
  3. デジタル署名の正当性をチェックするには、この文書で後述する「デジタル署名」のセクションを参照してください。
  4. このツールを実行する前に、実行中のすべてのプログラムを閉じます。
  5. ネットワーク上にある場合、またはインターネットへの常時接続を行っている場合は、コンピューターをネットワークおよびインターネットから接続切断してください。
  6. Windows Me または XP を実行している場合は、システムの復元オプションを無効にしてください。 詳細については、「システムの復元オプション (Windows Me/XP)」を参照してください。


    注意: Windows Me/XP を実行している場合は、このステップを省略しないことを強くお薦めします。Windows では外部プログラムがシステムの復元を変更することを防ぐようになっているため、Windows Me/XP のシステムの復元オプションが無効になっていない場合、この駆除手順が成功しない可能性があります。

  7. FixSbr.exe ファイルをダブルクリックして、駆除ツールを起動します。
  8. [スタート] をクリックしてプロセスを開始し、ツールを実行させておきます。


    注意: ツールの実行時に、このツールで 1 つまたは複数のファイルを駆除できなかったというメッセージが表示された場合は、このツールをセーフモードで実行してください。コンピュータをシャットダウンして電源を落とし、30 秒間待ちます。コンピューターをセーフモードで再起動し、その後このツールを再度実行してください。Windows 32 ビットオペレーティングシステム (Windows NT を除く)では、セーフモードで再起動が行えます。 コンピューターをセーフモードで再起動するには、ドキュメント「コンピュータをセーフモードで起動する方法を参照してください。

  9. コンピュータを再起動します。
  10. システムから感染を除去したことを確認するために、駆除ツールを再度実行します。
  11. Windows Me/XP をご使用の場合は、この時点でシステム復元機能をオンに戻します。


    注意: 次のステップへ進む前に、LiveUpdate を再インストールする必要がある可能性があります。これは、W32.Sober.O@mm や W32.Sober.X@mm などのいくつかの亜種は、特に Symantec LiveUpdate を標的とし、この製品に関連付けられている各種のファイルを削除や上書きしようとするためです。LiveUpdate を再インストールするには、次の手順を行ってください。


    LiveUpdate の最新版を再インストールする
    1. [LiveUpdate のダウンロード] をクリックします


      注意: エラー通知が表示されているコンピューター上でこの Web ページを読んでいるのではない場合は、ファイルのダウンロードのためのアドレスは次のものになります。

      ftp://ftp.symantec.com/public/english_us_canada/liveupdate/lusetup.exe

      必要な場合は、このアドレスを問題のコンピューターのアドレスバーに入力することができます。Hosts ファイルへの変更は、このサイトへのアクセスを防ぐものではありません。


    2. Windows デスクトップにファイルを保存します。

    3. デスクトップの lusetup.exe アイコンをダブルクリックして、LiveUpdate をインストールします。

  12. LiveUpdate を実行して、最新のウイルス定義を使用していることを確認してください。

ツールの実行が終了すると、ご使用のコンピュータが W32.Sober に感染していたかどうかを示すメッセージが表示されます。ワームの駆除の場合は、プログラムにより次の結果が表示されます。
  • Total number of the scanned files (スキャンしたファイルの数)
  • Number of deleted files (削除したファイルの数)
  • Number of terminated viral processes (終了させたウイルスプロセスの数)
  • Number of fixed registry entries (修復したレジストリエントリの数)


デジタル署名


FixSbr.exe はデジタル署名されています。シマンテックでは、ユーザーが Symantec Security Response の Web サイトから直接ダウンロードした FixSbr.exe のコピーのみを使用することを推奨します。デジタル署名の正当性をチェックするには、次のステップを行ってください。
  1. http://www.wmsoftware.com/free.htm へアクセスします。
  2. Chktrust.exe ファイルをダウンロードして、駆除ツールと同じフォルダ内に保存します。


    注意: 次のステップのほとんどは、コマンドプロンプトで行います。駆除ツールを Windows のデスクトップへダウンロードすると、最初に C ドライブのルートへツールを移動する場合に、より容易に行えます。その場合、Chktrust.exe ファイルも C のルートへ保存します。

    (ステップ 3 では、駆除ツールと Chktrust.exe の両方が C ドライブのルートにあるものと想定します。)

  3. スタートメニューで[Run(ファイル名を指定して実行)をクリックします。

  4. 次のいずれかを入力します。

    • Windows 95/98/Me:

      command

    • Windows NT/2000/XP:

      cmd

  5. [OK] をクリックします。

  6. command ウィンドウで、次のように入力し、各行の入力後で Enter キーを押します。

    cd\
    cd downloads
    chktrust -i
    FixSbr.exe

  7. ご使用のオペレーティングシステムによって、次のいずれかのメッセージが表示されます。
    • Windows XP SP2:
      Trust Validation Utility ウィンドウが表示されます。

      発行元の下の Symantec Corporation のリンクをクリックしてください。デジタル署名の詳細が表示されます。
      このツールが本物であることを確認するには、次のフィールドのコンテンツを照合してください。

      名前: Symantec Corporation
      署名時刻: 2005 年 11 月 22 日(火曜日) 03:27:19 PM

    • 上記以外のオペレーティングシステム:
      次のメッセージが表示されます。

      「W32.Sober 駆除ツール」は、2005 年 11 月 22 日 03:47:28 PM に署名されて Symantec Corporation から配布されています。インストールして実行しますか ?


      注意:
    • 上記のデジタル署名内の日時は、太平洋標準時刻に基づいています。これらは、ご使用のコンピューターのタイムゾーンおよび地域オプションの設定に調節されます。
    • サマータイムを使用している場合は、表示される時刻は 1 時間ちょうど早くなります。
    • このダイアログボックスが表示されない場合は、2 つの理由が考えられます。
      • ツールがシマンテックからのものではない場合: ツールが正当なものであり、シマンテックの正当な Web サイトからダウンロードしたことが確実でない限り、そのツールを実行すべきではありません。
      • ツールがシマンテックからのものであり正当である場合: しかし、ご使用のオペレーティングシステムは、シマンテックからの内容を常に信用するように以前に指定されています。これについての情報、および確認ダイアログを再度表示する方法については、ドキュメント「How to restore the Publisher Authenticity confirmation dialog box (英語)」を参照してください。

  8. [Yes (はい)] または [Run (実行)] をクリックして、ダイアログボックスを閉じます。

  9. exit と入力し、Enter キーを押します。(これにより、MS-DOS セッションが終了します)


システムの復元オプション (Windows Me/XP)


Windows Me および XP ユーザーは、システムの復元オプションを一時的にオフにする必要があります。システムの復元機能は、Windows Me/XP の機能の一つで、標準では有効に設定されています。コンピュータがウイルス、ワーム、またはトロイの木馬に感染した場合、ウイルス、ワーム、またはトロイの木馬のバックアップファイルが _RESTORE フォルダ内に作成されている可能性があります。

Windows は、ウイルス対策プログラムのような外部プログラムによるシステムの復元機能の改変を防止するように設定されています。この理由により、ウイルス対策プログラムおよび駆除ツールでは _RESTORE フォルダ内に保存されている感染ファイルを削除することはできません。その結果、他のあらゆる場所から感染ファイルを削除した後でも、感染したファイルが誤って復元される可能性があります。

また、場合によっては、アンチウイルスプログラムでユーザーのコンピューターをスキャンして感染ファイルが何も見付からなかった場合であっても、オンラインスキャナーが System Restore フォルダ内で脅威を検出することもあります。

システムの復元機能を無効にする方法については、Windows のマニュアルか、あるいは下記のドキュメントをご覧ください。
システムの復元機能についての詳細および別の無効化方法については、「マイクロソフト サポート技術情報 - 263455 - _RESTORE フォルダにウイルスが発見された場合の対応方法についてをご覧ください。


フロッピーディスクからツールを実行する方法

  1. FixSbr.exe ファイルを含むフロッピーディスクを、フロッピーディスクドライブへ挿入します。
  2. スタートメニューで[Run(ファイル名を指定して実行)]をクリックします。
  3. 次のように入力します。

    a:\FixSbr.exe

    その後、[OK] をクリックします。


    注意:
    • a:\FixSbr.exe コマンド内にはスペースは入れません。
    • Windows Me を使用しておりシステムの復元オプションを有効にしたままである場合は、警告メッセージが表示されます。システムの復元オプションを有効にしてこの駆除ツールを実行するか、またはこの駆除ツールを終了するかのどちらかを選択できます。

  4. [スタート] をクリックしてプロセスを開始し、ツールを実行させておきます。

  5. Windows Me を使用している場合は、この時点でシステム復元機能をオンに戻します。


危険性の評価
スパムレポート
2016 年インターネットセキュリティ脅威レポート第 21 号
  • Twitter
  • Facebook
  • LinkedIn
  • Google+
  • YouTube