はてな
Yahoo
Google
Livedoor
Twitter
Facebook
- 発見日:
- 2003 年 9 月 19 日
- 更新日:
- 2007 年 2 月 13 日 11:35:30 AM
- 種別:
- Removal Information
Symantec Security Response は、次の感染を駆除する駆除ツールを開発しました。
W32.Swen.A@mm
このツールが行うこと
W32.Swen.A@mm 駆除ツールは、次のことを行います。
- W32.Swen.A@mm のウイルスプロセスを終了させます。
- W32.Swen.A@mm のファイルを削除します。
- 投下されたファイルを削除します。
- ワームが追加したレジストリ値を削除します。
このツールで利用可能なコマンドラインスイッチ
スイッチ | 説明 |
/HELP, /H, /? | ヘルプメッセージを表示します。 |
/NOFIXREG | レジストリの修復を無効にします。(このスイッチの使用は推奨されません。) |
/SILENT, /S | ツールをサイレントモードで実行します。 |
/LOG=[パス名] | ログファイルを作成します。[パス名] は、ログを保存するロケーションです。デフォルトでは、このスイッチは、ログファイル FixSwen.log をこの駆除ツールの実行元と同じフォルダ内に作成します。 |
/MAPPED | マップされたネットワークドライブをスキャンします。(このスイッチの使用は推奨されません。以下の「注意」を参照してください) |
/START | ツールがスキャンを即時に実行するように強制します。 |
/EXCLUDE=[パス] | 指定された [パス] をスキャンから除外します。(このスイッチの使用は推奨されません。) |
/NOFILESCAN | ファイルシステムのスキャンを防ぎます。 |
注意:
- /MAPPED スイッチを使用すると、リモートコンピューター上のウイルスを完全に駆除できる確証がなくなります。理由は次のとおりです。
- マップされたドライブのスキャンは、マップされたフォルダのみをスキャンします。これにはリモートコンピューター上のすべてのフォルダが含まれない可能性があり、検出されなくなる可能性があります。
- マップされたドライブ上でウイルスファイルが検出される場合、リモートコンピューター上のプログラムがこのファイルを使用すると、駆除は失敗します。
そのため、このツールをすべてのコンピューター上で実行する必要があります。
性があります。Security Response はこの問題を解決するツールを作成しました。このツールをダウンロードして実行してから、駆除手順を続行してください。
- マップされたドライブのスキャンは、マップされたフォルダのみをスキャンします。これにはリモートコンピューター上のすべてのフォルダが含まれない可能性があり、検出されなくなる可能性があります。
- /EXCLUDE スイッチは、1 つのパスでのみ機能し、複数のパスでは機能しません。別の方法としては、シマンテックアンチウイルス製品でのマニュアルのスキャン後の /NOFILESCAN スイッチがあります。これは、ツールでのレジストリの変更を可能にします。その後、最新のウイルス定義を使用してコンピューターをスキャンします。
- 次に、単一のドライブの除外に使用できるコマンドラインの例を示します。
"C:\Documents and Settings\user1\Desktop\FixSwen.exe" /EXCLUDE=M:\ /LOG=c:\FixSwen.txt
- 次のコマンドラインでは、ファイルシステムのスキャンはスキップしますが、レジストリの改変は修復します。その後、妥当な除外を用いてシステムの通常のスキャンを実行します。
"C:\Documents and Settings\user1\Desktop\FixSwen.exe" /NOFILESCAN /LOG=c:\FixSwen.txt
(ログファイルの名前は、任意に指定することが可能です。)
- 次に、単一のドライブの除外に使用できるコマンドラインの例を示します。
ツールの入手と実行
駆除を開始する前に:
このワームが Windows レジストリに対して行った多くの変更により、もしこのワームがすでに実行されており、その後にシマンテックアンチウイルス製品が隔離または削除を行った場合、このワームの駆除が難しい場合があります。これらの両方が起こった場合には、このツールをダウンロードして実行することはできません。
このワームがすでに実行されており、ワームのファイルが隔離されたまたは削除された場合にユーザーがとるべき手段は、ご使用のオペレーティングシステムによって異なります。
- Windows NT/2000/XP: 次のステップに従ってツールをダウンロードします。しかし、後述のステップ 5 内の「注意」に記されているように、.cmd 拡張子を使用するようにツールを名称変更します。
- Windows 95/98/Me: これらのオペレーティングシステム上では .cmd 拡張子を使用するようにツールを名称変更しても機能しないため、最初に W32.Swen.A@mm 文書内の「駆除方法」セクションの「W32.Swen.A@mm がすでに隔離されたまたは削除された場合」セクションの手順を行ってください。
注意: Windows NT 4.0、Windows 2000、Windows XP 上でこのツールを実行する場合は、管理者権限を持っている必要があります。
警告: ネットワーク管理者へ:MS Exchange 2000 Server を実行している場合は、コマンドラインから Exclude スイッチを使用してツールを実行することによって、M ドライブをスキャンから除外することを推奨します。詳細にいては、マイクロソフト サポート技術情報 - 298924 "Exchange 2000 のドライブ M をバックアップまたはスキャンを行うと問題が発生する" をご参照ください。
- 下記のサイトから、FixSwen.exe ファイルをダウンロードします。 http://www.symantec.com/avcenter/FixSwen.exe.
- このファイルを Windows デスクトップのダウンロードフォルダなどの便利な場所に (または、感染していないことが分かっているリムーバブルメディアに) 保存します。
- デジタル署名の正当性をチェックするには、この文書で後述する「デジタル署名」のセクションを参照してください。
- Windows Me または XP を実行している場合は、システムの復元オプションを無効にしてください。詳細については、後述の「システムの復元オプション (Windows Me/XP)」を参照してください。
注意:これは、ワームが後日復元されたりスキャンで検出されたりするのを防ぐための事前策として行われます。しかし、ワームがレジストリに対して行う変更のため、今回これはできない可能性もあります。これができない場合は、現在のところはこれを省略してください。しかし、システムへのアクセスが回復した後で、これを行い、System Restore フォルダを空にして、将来起こり得る問題を回避することを推奨します。
- FixSwen.exe ファイルをダブルクリックして、駆除ツールを起動します。
注意: ワームがすでに実行されており、シマンテックアンチウイルス製品を使用してワームのファイルを削除したまたは隔離した場合には、レジストリに対して行われた変更のために、このツールは実行されません。(Windows 95/98/Me システムでは、Windows で <ランダムな名前> ファイルが見付からないというメッセージが表示される場合があります。)
-- Windows 95/98/Me でこれが起こった場合には、ここで手順を停止し、W32.Swen.A@mm 文書内の「駆除方法」セクションの「W32.Swen.A@mm がすでに隔離されたまたは削除された場合」セクションの手順を行ってください。
-- Windows NT/2000/XP システムでこれが起こった場合は、次の追加のステップを行った後、ステップ 6 を続行してください。
a. Windows Explorer を起動します。
b. [表示] - [オプション] (Windows NT) または [ツール] - [フォルダオプション] (Windows 2000/XP) をクリックします。
c. [表示] タブをクリックします。
d. [登録されているファイルの拡張子は表示しない] のチェックをはずします。警告のダイアログボックスが表示された場合は、[はい] をクリックします。
e. [適用] をクリックし、次に [OK] をクリックします。
f. FixSwen.exe ファイルを右クリックし、[名前の変更] をクリックします。それを FixSwen.cmd へ名称変更します。プロンプトが表示された場合は、名称変更を確認します。
g. FixSwen.cmd ファイルをダブルクリックし、その後ステップを続行します。
- [スタート] をクリックしてプロセスを開始し、ツールを実行させておきます。
- コンピュータを再起動します。
- システムから感染を除去したことを確認するために、駆除ツールを再度実行します。
- Windows Me/XP をご使用の場合は、この時点でシステム復元機能をオンに戻します。
- LiveUpdate を実行して、最新のウイルス定義を使用していることを確認してください。
注意: Windows では外部プログラムがシステムの復元を変更することを防ぐようになっているため、Windows Me/XP のシステムの復元オプションが無効になっていない場合、この駆除手順が成功しない可能性があります。
ツールの実行が終了すると、ご使用のコンピュータが W32.Swen.A@mm に感染していたかどうかを示すメッセージが表示されます。ワームの駆除の場合は、プログラムにより次の結果が表示されます。
- Total number of the scanned files (スキャンしたファイルの数)
- Number of deleted files (削除したファイルの数)
- Number of terminated viral processes (終了させたウイルスプロセスの数)
- Number of fixed registry entries (修復したレジストリエントリの数)
デジタル署名
FixSwen.exe はデジタル署名されています。シマンテックでは、ユーザーが Symantec Security Response の Web サイトから直接ダウンロードした FixSwen.exe のコピーのみを使用することを推奨します。デジタル署名の正当性をチェックするには、次のステップを行ってください。
- http://www.wmsoftware.com/free.htm へアクセスします。
- chktrust.exe ファイルをダウンロードして、FixSwen.exe を保存したフォルダとと同じフォルダ内に保存します (例: C:\Downloads)。
- ご使用のオペレーティングシステムによって、次のいずれかを行います。
- [スタート] をクリックし、[プログラム] をポイントして [MS-DOS プロンプト] をクリックします。
- [スタート] をクリックし、[プログラム] をポイントして [アクセサリ] をクリックし、次に [コマンドプロンプト] をクリックします。
- FixSwen.exe および FixDonk.exe が保存されているフォルダへ移動し、次のように入力します。 chktrust -i FixSwen.exe.
例えば、ファイルを C:\Downloads フォルダへ保存している場合は、次のコマンドを入力します。
cd\
cd downloads
chktrust -i FixSwen.exe
各コマンドの入力後に、[Enter] キーを押します。デジタル署名が有効である場合は、次のメッセージが表示されます。
"W32.Swen.A@mm 駆除ツール" は、2003 年 9 月 24 日 8:18 AM に署名されて Symantec Corporation から配布されています。インストールして実行しますか ?
注意:- ご使用のコンピューターが太平洋時間帯に設定されていない場合は、このダイアログボックスに表示される日付と時刻はユーザーのタイムゾーンに調節されます。
- サマータイムを使用している場合は、表示される時刻は 1 時間ちょうど早くなります。
- このダイアログボックスが表示されない場合は、2 つの理由が考えられます。
- ツールがシマンテックからのものではない場合:ツールが正当なものであり、シマンテックの正当な Web サイトからダウンロードしたことが確実でない限り、そのツールを実行すべきではありません。
- ツールがシマンテックからのものであり正当である場合:しかし、ご使用のオペレーティングシステムは、シマンテックからの内容を常に信用するように以前に指定されています。これについての情報、および確認ダイアログを再度表示する方法については、ドキュメント "How to restore the Publisher Authenticity confirmation dialog box (英語)" を参照してください。
- [はい] をクリックして、ダイアログボックスを閉じます。
- Exit と入力し、[Enter] を押します。(これにより、MS-DOS セッションが終了します)
システムの復元オプション (Windows Me/XP)
Windows Me および XP ユーザーは、システムの復元オプションを一時的にオフにする必要があります。システムの復元機能は、Windows Me/XP の機能の一つで、標準では有効に設定されています。コンピュータがウイルス、ワーム、またはトロイの木馬に感染した場合、ウイルス、ワーム、またはトロイの木馬のバックアップファイルが _RESTORE フォルダ内に作成されている可能性があります。
Windows は、ウイルス対策プログラムのような外部プログラムによるシステムの復元機能の改変を防止するように設定されています。この理由により、ウイルス対策プログラムおよび駆除ツールでは _RESTORE フォルダ内に保存されている感染ファイルを削除することはできません。その結果、他のあらゆる場所から感染ファイルを削除した後でも、感染したファイルが誤って復元される可能性があります。
また、場合によっては、アンチウイルスプログラムでユーザーのコンピューターをスキャンして感染ファイルが何も見付からなかった場合であっても、オンラインスキャナーが System Restore フォルダ内で脅威を検出することもあります。
システムの復元機能を無効にする方法については、Windows のマニュアルか、あるいは下記のドキュメントをご覧ください。
追加の情報、および Windows Me のシステム復元オプションを無効にするための別の方法については、"Microsoft Knowledge Base article : _RESTORE フォルダにウィルスが発見された場合の対応方法について (Q263455)"" を参照してください。
