Norton.com > ウイルスとリスク > W32.Sobig.F@mm Removal Tool

W32.Sobig.F@mm Removal Tool

発見日:
2003 年 8 月 19 日
更新日:
2007 年 6 月 6 日 8:19:52 AM
種別:
Removal Information

Symantec Security Response は、次の感染を駆除する駆除ツールを開発しました。

W32.Sobig.F@mm


このツールが行うこと

W32.Sobig.F@mm の駆除ツールは、次のことを行います。
  1. W32.Sobig.F@mm のウイルスプロセスを終了させる。
  2. W32.Sobig.F@mm のファイルを削除する。
  3. 投下されたファイルを削除する。
  4. このワームが追加したレジストリ値を削除する。

このツールで使用可能なコマンドラインのスイッチ


スイッチ

説明

/HELP, /H, /?

ヘルプメッセージを表示します。

/NOFIXREG

レジストリの修復機能を無効にします。(このスイッチの使用は推奨されません。)

/SILENT, /S

サイレントモードを有効にします。

/LOG=[パス名]

ログファイルを作成します。[パス名] は、ツールの出力を保存するロケーションです。デフォルトでは、このスイッチはログファイル FixSbigF.log をこの駆除ツールの実行元と同じフォルダ内に作成します。

/MAPPED

マップされたネットワークドライブをスキャンします。(このスイッチの使用は推奨されません。下記の「注意:」を参照してください。)

/START

ツールがスキャンを即時に実行するように強制します。

/EXCLUDE=[パス]

指定された [パス] をスキャンから除外します。(このスイッチの使用は推奨されません。)


注意: /MAPPED スイッチを使用すると、リモートコンピューター上のウイルスを完全に駆除できる確証がなくなります。理由は次のとおりです。
  • マップされたドライブのスキャンは、マップされたフォルダのみをスキャンします。この操作は、リモートコンピュータ上のすべてのフォルダを含まない可能性があり、検出が見落される可能性があります。
  • マップされたドライブ上でウイルスファイルが検出される場合、リモートコンピューター上のプログラムがこのファイルを使うと、駆除は失敗します。

    そのため、このツールをすべてのコンピューター上で実行する必要があります。


ツールの入手と実行

注意: Windows NT 4.0、Windows 2000、Windows XP 上でこのツールを実行する場合は、管理者権限を持っている必要があります。
  1. FixSbigF.exe ファイルを次からダウンロードします。http://securityresponse.symantec.com/avcenter/FixSbigF.exe.
  2. このファイルを、ダウンロードフォルダや Windows のデスクトップなどの便利な場所(または、可能であれば、感染していないことが分かっているリムーバブルメディア)に保存します。
  3. デジタル署名の正当性をチェックするには、「デジタル署名」のセクションを参照してください。
  4. このツールを実行する前に、実行中のプログラムをすべて閉じます。
  5. ネットワーク上にある場合、またはインターネットへの常時接続を行っている場合は、コンピューターをネットワークおよびインターネットから接続切断してください。
  6. Windows Me または XP を実行している場合は、システムの復元オプションを無効にしてください。詳細については、「システムの復元オプション(Windows Me/XP)」を参照してください。

    注意:
    Windows Me または XP を実行している場合は、このステップを省略しないことを強くお勧めします。Windows では外部プログラムがシステムの復元を変更することを防ぐようになっているため、Windows Me/XP のシステムの復元オプションが無効になっていない場合、この駆除手順が成功しない可能性があります。

  7. FixSbigF.exe ファイルをダブルクリックして、駆除ツーールを開始します。
  8. [Start(スタート)]をクリックしてプロセスを開始し、ツールを実行させておきます。

    注意: ツールの実行時に、このツールで 1 つまたは複数のファイルを駆除できなかったというメッセージが表示された場合は、このツールをセーフモードで実行してください。コンピュータをシャットダウンして電源を落とし、30 秒間待ちます。コンピューターをセーフモードで再起動し、その後このツールを再度実行してください。Windows 32 ビットオペレーティングシステム(Windows NT を除く)では、セーフモードで再起動が行えます。コンピュータをセーフモードで再起動する方法については、「コンピュータをセーフモードで起動する方法」をお読みください。

  9. コンピュータを再起動します。
  10. システムが確実にクリーンな状態になるように、駆除ツールを再度実行します。
  11. Windows Me または XP 実行している場合は、システムの復元機能を再び有効にします。
  12. LiveUpdate を実行して、確実に最新のウイルス定義を使うようにしてください。

ツールの実行が終了すると、コンピュータが W32.Sobig.F@mm に感染していたかどうかを示すメッセージが表示されます。ワームを駆除した場合は、このプログラムにより次の結果が表示されます。
  • Total number of the scanned files(スキャンを行ったファイルの合計数)
  • Number of deleted files(削除したファイルの数)
  • Number of terminated viral processes(終了させたウイルスプロセスの数)
  • Number of fixed registry entries(修復したレジストリエントリの数)

デジタル署名

FixSbigF.exe はデジタル署名されています。シマンテックでは、ユーザーが Symantec Security Response の Web サイトから直接ダウンロードした FixSbigF.exe のコピーのみを使用することを推奨します。デジタル署名の正当性をチェックするには、次のステップに従ってください。
  1. http://www.wmsoftware.com/free.htm にアクセスします。
  2. Chktrust.exe ファイルをダウンロードして、FixSbigF.exe を保存したフォルダとと同じフォルダ内に保存します(例: C:\Downloads)。
  3. お使いのオペレーティングシステムに応じて、次のうちのいずれかを行います。
    • [スタート] をクリックし、[プログラム] をポイントして [MS-DOS プロンプト] をクリックします。
    • スタートメニューで[Programs(プログラム)]をポイントして[Accessories(アクセサリ)]をクリックし、次に[Command Prompt(コマンドプロンプト)]をクリックします。

  4. FixSbigF.exe と Chktrust.exe が保存されているフォルダへ移動して、次のように入力します。

    chktrust -i FixSbigF.exe

    たとえば、ファイルを C:\Downloads フォルダへ保存している場合は、次のコマンドを入力します。

    cd\
    cd downloads
    chktrust -i FixSbigF.exe


    各コマンドの入力後に Enter キーを押します。デジタル署名が有効である場合は、次のメッセージが表示されます。

    「W32.Sobig.F@mm Removal Tool」は、 8/19/2003 9:37 AM に署名されて Symantec Corporation から配布されています。インストールして実行しますか ?

    注意:
    • ご使用のコンピューターが太平洋標準時刻に設定されていない場合は、このダイアログボックスに表示される日付と時刻はユーザーのタイムゾーンに調節されます。
    • サマータイムを使っている場合は、表示される時刻は 1 時間ちょうど早くなります。
    • このダイアログボックスが表示されない場合は、2 つの理由が考えられます。
      • このツールがシマンテックからのものではない: このツールが正規のものであり、正規のシマンテック Web サイトからダウンロードしたことが確実でない限り、そのツールを実行すべきではありません。
      • このツールがシマンテックからのものであり、正規のものである: しかし、お使いのオペレーティングシステムは、シマンテックからのコンテンツを常に信頼するように以前に指示されている。これについての情報と、確認ダイアログを再度表示する方法については、次の文書をお読みください。「How to restore the Publisher Authenticity confirmation dialog box(英語)」

  5. [Yes(はい)]をクリックして、ダイアログボックスを閉じます。

  6. Exit と入力してから Enter キーを押します。 これにより MS-DOS セッションが終了します。

システムの復元オプション(Windows Me/XP)

Windows Me と Windows XP のユーザーは、システムの復元機能を一時的に無効する必要があります。システムの復元機能は、Windows Me/XP の機能の一つで、標準では有効に設定されています。この機能は、Windows がコンピュータ上のファイルが破損した場合にそれらを自動的に復元するために使用されます。 コンピュータがウイルス、ワーム、またはトロイの木馬に感染した場合、ウイルス、ワーム、またはトロイの木馬のバックアップファイルが _RESTORE フォルダ内に作成されている可能性があります。

Windows は、ウイルス対策プログラムのような外部プログラムによるシステムの復元機能の改変を防止するように設定されています。 この理由により、ウイルス対策プログラムおよび駆除ツールでは _RESTORE フォルダ内に保存されている感染ファイルを削除することはできません。その結果、他のあらゆる場所から感染ファイルを削除した後でも、感染したファイルが誤って復元される可能性があります。

また、場合によっては、アンチウイルスプログラムでユーザーのコンピューターをスキャンして感染ファイルが何も見付からなかった場合であっても、オンラインスキャナーが System Restore フォルダ内で脅威を検出することもあります。

システムの復元機能を無効にする方法については、 Windows のマニュアルか、あるいは下記の文書のいずれかをご覧ください。
システムの復元機能についての詳細および別の無効化方法については、「Microsoft サポート技術情報 - 263455 - _RESTORE フォルダにウイルスが発見された場合の対応方法について」をお読みください。

このツールをフロッピーディスクから実行する方法
  1. FixSbigF.exe ファイルを含んでいるフロッピーディスクをフロッピーディスクドライブへ挿入します。
  2. スタートメニューで[Run(ファイル名を指定して実行)]をクリックします。
  3. 次のように入力します。

    a:\FixSbigF.exe

    その後、[OK]をクリックします。

    注意:
    • コマンド a:\FixSbigF.exe 内にはスペースは入れません。
    • Windows Me をお使いの場合で、システムの復元機能を有効にしたままである場合は、警告メッセージが表示されます。システムの復元オプションを有効にしてこの駆除ツールを実行するか、またはこの駆除ツールを終了するかのどちらかを選択できます。

  4. [Start(スタート)]をクリックしてプロセスを開始し、ツールを実行させておきます。
  5. Windows Me を使っている場合は、システムの復元機能を再び有効にします。