マカフィでコンピュータウィルスvirut sdbotの駆除方法

←最新版は検索「ウイルス」して下さい−
パーソナルコンピュータPC、Windows XPのコンピュータウイルス(ウィルス)や脆弱性セキュリティホールに関する情報をどうぞ
−−マカフィでコンピュータウィルスを駆除する−−
 友人のPCがコンピュータウイルスに感染したらしい。
・症状:インターネットエクスプローラが使えない。マカフィで検出できるが駆除できない。
・OS:WindowsXPHome
・ウィルスチェッカ:マカフィ
・ウィルス名:「w32/sdbot.worm!MS06-040」と「W32/Virut.b」
・感染経緯:WindowsUpdateしないでセキュリティホールを放置していたのでホームページ閲覧で感染したと思われる。ウィルスチェッカはメールやスクリプトのウィルスには有効だが、セキュリティホールに対しては無力な場合が多い。私の「Microsoft Windows PCをウイルスや攻撃から守る」日記ページを参照して日頃から緊急事項だけは対処しておこう。
・現状:IEが使えないので対処方法も分からないらしい。マカフィは詳しくないが色々と調べてみた。
●ウィルス名:w32/sdbot.worm!MS06-040
・駆除方法:
 駆除方法はウィルスがメモリ常駐型か否かで異なる。dllやexeといったメモリに常駐して動作するプログラムファイルは削除できないからだ。従ってMSDOSの様なシングルタスクOS上で専用のソフトによる駆除が必要である。対してウィルスがスクリプトである場合はWindows上で普通に駆除が可能だ。最新の定義ファイルとエンジンならばそう難しくない。(スクリプト系の駆除方法は後述)
 ところでsdbot.wormはメモリ常駐系なので、Windows上で無くMS-DOS上でDOSプログラムを用いて駆除する必要がある。
※「Windows実行ファイル系・ワーム系・メモリ常駐系」の駆除方法
  コマンドラインスキャナ(ダウンロード http://www.mcafee.com/japan/licensed2/)で駆除します。
  1.PCをMS-DOSモードで起動してください。または「緊急ディスク(エマージェンシー・ディスク)を使って起動してください。
  2.コマンドラインスキャナを使い、例えば、'SCAN C: /CLEAN /ALL'というコマンドで駆除してください。
●ウィルス名:W32/Virut.b(国内マカフィで登録が無く、本国の情報)
http://vil.nai.com/vil/content/v_139898.htm
・対応定義ファイル:4787以降
・対応エンジン:4.4.00以降
・危険度:低(翻訳)
「概要」
Windows OS 用のウイルスおよび IRC バックドアです。
「駆除方法」
マカフィに情報が無く、普通に駆除すれば良いと思う。
他社にウィルス登録あり、駆除可能との事。http://www.sophos.co.jp/security/analyses/w32virutb.html
---
Windowsセキュリティホール名:MS06-040
Server サービスの脆弱性により、リモートでコードが実行される(921883) (MS06-040)
推奨する対応策 : この更新プログラム(Windows Update)を直ちにインストールして下さい。
http://www.microsoft.com/japan/support/mobile/bulletin.aspx?secid=MS06-040
●「マクロウイルス系・バッチファイル系・VBスクリプト系・非メモリ常駐系」の駆除方法 W32/Sdbot.wormの駆除は以下のエンジン・定義ファイルを使用して検出・駆除。
 対応定義ファイル:4833以降
 対応エンジン:4.4.00以降
 システムレストアの無効化の必要あり。
 http://www.mcafee.com/japan/security/virS.asp?v=W32/Sdbot.worm!MS06-040

 ※システムレストアの無効化の方法
 WindowsXPのレストアユーティリィティは、自動的にレストアフォルダにバックアップする機能です。システムレストアのフォルダ内のファイルはWindowsに守られているため、その中にウイルスがあったとしてもウイルススキャンは削除することはできません。レストアフォルダから感染ファイルを除去するためには、システムレストアシステムを無効にする必要があります。
  1.デスクトップ上のマイコンピュータアイコンを右クリックし、プロパティを選択します。
  2.システムの復元タブをクリックします。
  3.「システムの復元を無効にする」をチェック
  4.「OK」ボタンをクリックします。
  5.再起動を促されますので、「はい」を選択して下さい。
 注意:レストアユーティリティを再度、有効にするには、上記の3で「システムの復元を無効にする」のチェックを外します。
---