1. Symantec/
  2. セキュリティレスポンス/
  3. W32.Antinny Removal Tool
  4. W32.Antinny Removal Tool
  • ブックマーク

W32.Antinny Removal Tool

更新日:
2007 年 2 月 13 日 11:36:59 AM
種別:
Removal Information

このツールは、次の脅威の感染を駆除するように設計されています。



警告:
  • DSL やケーブルモデムなどのインターネットへの常時接続やネットワーク上にある場合は、コンピューターをネットワークおよびインターネットから接続切断してください。コンピューターをネットワークまたはインターネットへ再接続する前に、ファイルの共有を無効にするまたはパスワード保護にするか、あるいは共有ファイルを読み取り専用にしてください。このワームはネットワーク化されたコンピューター上の共有フォルダを使用して拡散するため、駆除後にコンピューターにこのワームが再度感染しないようにするためです。共有は、読み取り専用アクセスにするかまたはパスワード保護を使用することを、シマンテックでは推奨します。

    これを行う方法については、Windows のドキュメントまたは次のドキュメントを参照してください。
    共有フォルダをネットワーク上のウイルスから保護する方法
  • 感染をネットワークから駆除する場合は、まずすべての共有が無効になっているかまたは読み取り専用に設定されていることを確認してください。
  • このツールは、Novell NetWare サーバー上で実行するようには設計されていません。この脅威を NetWare サーバーから駆除するには、まず最新のウイルス定義を持っていることを確認し、次にシマンテックのアンチウイルス製品でフルシステムスキャンを行ってください。

ツールのダウンロードと実行方法


警告: Windows NT 4.0、Windows 2000、Windows XP 上でこのツールを実行する場合は、管理者権限を持っている必要があります。

ネットワーク管理者への注意事項:MS Exchange 2000 Server を実行している場合は、コマンドラインから Exclude スイッチを使用してツールを実行することによって、M ドライブをスキャンから除外することを推奨します。詳細については、マイクロソフト サポート技術情報 "Exchange 2000 の M ドライブのバックアップまたはスキャンを行うと問題が発生する" を参照してください。

ツールをダウンロードして実行するには、次のステップを行ってください。
  1. 次のサイトから、FxAntiny.exe ファイルをダウンロードします。 http://securityresponse.symantec.com/avcenter/FxAntiny.exe.
  2. このファイルを、例えば Windows のデスクトップなどの便利な場所に保存します。
  3. オプション:デジタル署名の正当性をチェックするには、この文書で後述する「デジタル署名」のセクションを参照してください。


    注意: このツールを Security Response の Web サイトからダウンロードしていることが確実である場合は、このステップは省略することができます。これが確実ではない場合、またはネットワーク管理者であり導入前にファイルを認証する必要がある場合は、ステップ 4 へ進む前に「デジタル署名」のセクションのステップを行ってください。

  4. 実行中のプログラムをすべて閉じます。
  5. ネットワーク上にある場合、またはインターネットへの常時接続を行っている場合は、コンピューターをネットワークおよびインターネットから接続切断してください。
  6. Windows Me または XP を実行している場合は、システムの復元オプションを無効にしてください。システムの復元機能を無効にする方法については、Windows のマニュアルか、あるいは下記のドキュメントをご覧ください。
  7. ダウンロードしたファイルを選択します。
  8. FxAntiny.exe ファイルをダブルクリックして、駆除ツールを開始します。
  9. [スタート] をクリックしてプロセスを開始し、ツールを実行させておきます。


    注意:このツールの実行時に何らかの問題があった場合や脅威が駆除されていないように思われる場合は、コンピューターをセーフモードで起動して、再度このツールの実行を試してください。

  10. コンピュータを再起動します。
  11. システムから感染を除去したことを確認するために、駆除ツールを再度実行します。
  12. Windows Me または XP を実行している場合は、システムの復元オプションを再度有効にします。
  13. ネットワーク上にある場合、またはインターネットへの常時接続を行っている場合は、コンピューターをネットワークまたはインターネットへ再接続してください。
  14. LiveUpdate を実行して、最新のウイルス定義を使用していることを確認してください。

ツールの実行が終了すると、脅威がコンピューターに感染しているかどうかを示すメッセージが表示されます。ツールにより、次に類似した結果が表示されます。
  • Total number of the scanned files (スキャンしたファイルの数)
  • Number of deleted files (削除したファイルの数)
  • Number of repaired files (修復したファイルの数)
  • Number of terminated viral processes (終了させたウイルスプロセスの数)
  • Number of fixed registry entries (修復したレジストリエントリの数)

このツールが行うこと

この駆除ツールは、次のことを行います。
  1. 関連プロセスを終了させます
  2. 関連するファイルを削除します
  3. 脅威によって追加されたレジストリ値を削除します


スイッチ

以下のスイッチはネットワーク管理者用に提供されています。

スイッチ

説明

/HELP, /H, /?

ヘルプメッセージを表示します。

/NOFIXREG

レジストリの復元を無効にします (このスイッチの使用は推奨されません)

/SILENT, /S

サイレントモードを有効にします。

/LOG=[パス名]

ログファイルを作成します。[パス名] は、ツールの出力を保存するロケーションです。デフォルトでは、このスイッチは、ログファイル FxAntiny.exe.log をこの駆除ツールの実行元と同じフォルダ内に作成します。

/MAPPED

マップされたネットワークドライブをスキャンします。(このスイッチの使用は推奨されません。以下の「注意」を参照してください)

/START

ツールがスキャンを即時に実行するように強制します。

/EXCLUDE=[パス]

指定された [パス] をスキャンから除外します。(このスイッチの使用は推奨されません。以下の「注意」を参照してください)

/NOCANCEL

駆除ツールのキャンセル機能を無効にします

/NOFILESCAN

ファイルシステムのスキャンを防ぎます

/NOVULNCHECK

パッチが適用されていないファイルのチェックを無効にする。



警告: /MAPPED スイッチを使用すると、リモートコンピューター上のウイルスを完全に駆除できる確証がなくなります。理由は次のとおりです。
    • マップされたドライブのスキャンは、マップされたフォルダのみをスキャンします。これにはリモートコンピューター上のすべてのフォルダが含まれない可能性があり、検出されなくなる可能性があります。
    • マップされたドライブ上でウイルスファイルが検出される場合、リモートコンピューター上のプログラムがこのファイルを使用すると、駆除は失敗します。


      そのため、このツールをすべてのコンピューター上で実行する必要があります。
/EXCLUDE スイッチは、1 つのパスでのみ機能し、複数のパスでは機能しません。別の方法としては、AntiVirus でのマニュアルのスキャン後の /NOFILESCAN スイッチがあります。これは、ツールでのレジストリの変更を可能にます。その後、最新のウイルス定義を使用して AntiVirus でコンピューターをスキャンします。これらのステップを行うことによって、ファイルシステムから感染を除去できるはずです。

次に、単一のドライブの除外に使用できるコマンドラインの例を示します。

"C:\Documents and Settings\user1\Desktop\ FxAntiny.exe " /EXCLUDE=M:\ /LOG=c:\ FxAntiny.exe .txt

次のコマンドラインでは、ファイルシステムのスキャンはスキップしますが、レジストリの改変は修復します。その後、妥当な除外を用いてシステムの通常のスキャンを実行します。

"C:\Documents and Settings\user1\Desktop\ FxAntiny.exe " /NOFILESCAN /LOG=c:\ FxAntiny.exe .txt


注意: 任意のログファイル名を用いて、任意のロケーションに保存することができます。


デジタル署名


セキュリティ保護のために、この駆除ツールにはデジタル署名が用いられています。シマンテックでは、ユーザーが Symantec Security Response の Web サイトから直接ダウンロードした駆除ツールのコピーのみを使用することを推奨します。


これが確実でない場合、またはネットワーク管理者で導入前にファイルを認証する必要がある場合は、デジタル署名の正当性をチェックする必要があります。

以下の手順を実行してください。
  1. http://www.wmsoftware.com/free.htm へアクセスします。

  2. Chktrust.exe ファイルをダウンロードして、駆除ツールと同じフォルダ内に保存します。


    注意: 次のステップのほとんどは、コマンドプロンプトで行います。駆除ツールを Windows のデスクトップへダウンロードすると、最初に C ドライブのルートへツールを移動する場合に、より容易に行えます。その場合、Chktrust.exe ファイルも C のルートへ保存します。

    (ステップ 3 では、駆除ツールと Chktrust.exe の両方が C ドライブのルートにあるものと想定します。)

  3. [スタート] - [ファイル名を指定して実行] をクリックします。

  4. 次のいずれかを入力します。
    • Windows 95/98/Me:

      command

    • Windows NT/2000/XP:

      cmd

  5. [OK] をクリックします。

  6. command ウィンドウで、次のように入力し、各行の入力後に [Enter] を押します。

    cd\
    cd downloads
    chktrust -i
    FxAntiny.exe

  7. ご使用のオペレーティングシステムによって、次のいずれかのメッセージが表示されます。
    • Windows XP SP2:
      Trust Validation Utility ウィンドウが表示されます。

      発行元の下の Symantec Corporation のリンクをクリックしてください。デジタル署名の詳細が表示されます。
      このツールが本物であることを確認するには、次のフィールドのコンテンツを照合してください。

      名前:Symantec Corporation
      署名時刻: 2006 年 4 月 30 日 04:10:09 PM
    • 上記以外のオペレーティングシステム:
      次のメッセージが表示されます。

      "W32.Antinny 駆除ツール " は、 2006 年 4 月 30 日 04:10:09 AM PST に署名されて Symantec Corporation から配布されています。インストールして実行しますか ?


      注意:
    • 上記のデジタル署名内の日時は、太平洋標準時刻に基づいています。これらは、ご使用のコンピューターのタイムゾーンおよび地域オプションの設定に調節されます。
    • サマータイムを使用している場合は、表示される時刻は 1 時間ちょうど早くなります。
    • このダイアログボックスが表示されない場合は、2 つの理由が考えられます。
      • ツールがシマンテックからのものではない場合:ツールが正当なものであり、シマンテックの正当な Web サイトからダウンロードしたことが確実でない限り、そのツールを実行すべきではありません。
      • ツールがシマンテックからのものであり正当である場合:しかし、ご使用のオペレーティングシステムは、シマンテックからの内容を常に信用するように以前に指定されています。これについての情報、および確認ダイアログを再度表示する方法については、ドキュメント "How to restore the Publisher Authenticity confirmation dialog box (英語)" を参照してください。

  8. [Yes (はい)] または [Run (実行)] をクリックして、ダイアログボックスを閉じます。

  9. exit と入力し、[Enter] を押します。(これにより、MS-DOS セッションが終了します)


Winny ネットワークへアップロードされたファイルを見付ける方法

この駆除ツールは、Winny のアップロードフォルダの構成の変更は行いません。シマンテックでは、ユーザーが Winny のアップロードフォルダの構成を削除し、標的のコンピューターからどの情報が漏えいしたかを見分けることをお薦めします。


1. Explorer を開きます。
2. [Tools (ツール)] メニュー - [Folder Options (フォルダ オプション)] - [View (表示)] へアクセスします。
3. [Show hidden files and folders (すべてのファイルとフォルダを表示する)] をクリックします。
4. Winny プログラムを含んでいるフォルダを見付けます。
5. そのフォルダ内の Upfolder.txt を開きます。
6. テキスト内で "Path=" 行を探し出して、それを書き留めておきます。このパスは、Winny 用のアップロードフォルダとして設定されているはずです。
7. "Path=" 行が必要ない場合は、"Path=" 行を削除します。
8. どのファイルが Winny ネットワークへアップロードされているかを知ることができます。


危険性の評価
スパムレポート
2016 年インターネットセキュリティ脅威レポート第 21 号
  • Twitter
  • Facebook
  • LinkedIn
  • Google+
  • YouTube