ウイルスとソリューション

­

	関連項目
	レスキューディスクの作成方法

以下に提案する Virus.Win32.Sality の駆除方法は、感染したコンピュータにカスペルスキー製品がインストールされていない場合、またはすでに感染しているコンピュータに通常の方法でカスペルスキー製品をインストールできない場合にのみ適用できます。また、感染したコンピュータのウイルス駆除には、レスキューディスクを使用することを推奨します。

この記事からダウンロードできるSality_killer.exe ユーティリティでは、以下の Sality の亜種のみの検知と駆除が可能です:

• Virus.Win32.Sality.y
• Virus.Win32.Sality.z
• Virus.Win32.Sality.aa

Virus.Win32.Sality (y/z/aa) を駆除するには、以下を実行してください:

感染したコンピュータがドメインコントローラで管理するローカルネットワーク内にある場合:

ステップ 1 : 駆除の準備

• Sality_killer.zip ファイルをダウンロードします
• Sality_killer.zip ファイルを解凍します
• 各コンピュータ上で順番に Sality_killer.exe ファイルを実行します (たとえば、Kaspersky Administration Kit またはグループポリシーを利用して実行)
• ドメイン管理者が管理するすべてのコンピュータ上で実行

このコンピュータグループ上で駆除を行っている間は、ネットワーク内に感染が拡大しないように、ドメイン管理者のアカウントで他のコンピュータにログインを行わないようにしてください。

• その他のすべてのコンピュータ上で実行

ネットワーク内のすべてのコンピュータにおいて駆除が完了するまで、ユーティリティの動作を停止させないでください。

ステップ 2 : ウイルス駆除のアルゴリズム

まず、ドメイン管理者権限でログオンしているコンピュータ上のウイルス駆除を行う必要があります。これらのコンピュータでの駆除が完了したら、ネットワーク上のほかのコンピュータ上で駆除を行います。

• ウイルス感染したコンピュータ上で、ユーティリティファイル Sality_killer.exe を再度実行します（付加するキーはありません）
• システムトレイ上のアンチウイルスアイコンが赤く表示されている (アンチウイルスソフトウェアが正常に機能している) ことを確認してください。赤く表示されていない場合は、Kaspersky Administration Kit 経由でアンチウイルスソフトウェアを再インストールしてください
• お客様の PC にインストールされている カスペルスキー製品の定義データベース (脅威のシグネチャ) を最新のものに更新します。インターネット経由でダウンロードできない場合は、Zip アーカイブを利用して更新してください
• カスペルスキー製品を更新する方法
• 完全スキャンのセキュリティレベルを高レベルに設定します
• 完全スキャンを実行します

ステップ 3 : 駆除に成功した場合に見られる動作

• Kaspersky Anti-Virus が起動し、通常モードで機能します
• コンピュータ上で完全スキャンを行っても、感染オブジェクトは検知されません

ステップ 4 : ドメインネットワーク内の感染したコンピュータのレジストリをクリーンアップする

• Sality_RegKeys.zip ファイルをダウンロードします
• Sality_RegKeys.zip ファイルを解凍します
• Sality_RegKeys.zip 内のDisable_autorun.reg ファイルを実行します
• レジストリに同ファイルの情報を追加するかどうか確認するダイアログボックス内で [はい] ボタンをクリックします。

• スキャンが完了したら、Sality_RegKeys.zip ファイルから次のレジストリキーのファイルを実行します：
• Windows 2000 の場合は、レジストリファイルSafeBootWin200.reg を実行
• Windows XP の場合は、レジストリファイルSafeBootWinXP.reg を実行
• Windows 2003 の場合は、レジストリファイルSafeBootWinServer2003.reg を実行
• Windows Vista の場合は、レジストリファイルSafebootVista.reg を実行

感染したコンピュータがネットワーク外にある場合：

• PC 上に以下のいずれかの製品がインストールされ起動中である場合、iSwift および iChecker の機能を無効にします
• Kaspersky Anti-Virus for Windows Workstation 6.0
• Kaspersky Anti-Virus SOS 6.0
• Kaspersky Anti-Virus for Windows Server 6.0
• Sality_killer.zip ファイルをダウンロードして解凍します
• Sality_killer.exe ファイルを実行します

インストールされているカスペルスキー製品によって、Sality_killer.exe プロセス実行の許可を求めるメッセージが表示される場合があります。

• [スタート] → [すべてのプログラム] → [スタートアップ] 上で右クリック→ [開く] の順に選択します

• [スタートアップ] フォルダ内のいずれかの場所で右クリックします
• メニューから [新規作成] → [ショートカット] の順に選択します
• [ショートカットの作成] ウィンドウ内の [参照] ボタンをクリックします
• Sality_killer.exe ファイルを解凍したフォルダを指定します
• Sality_killer.exe を選択します
• [OK] ボタンをクリックします
• [次へ] ボタンをクリックします
• [完了] ボタンをクリックします

• Sality_RegKeys.zip ファイルをダウンロードします
• Sality_RegKeys.zip ファイルを解凍します
• Sality_RegKeys.zip 内のDisable_autorun.reg ファイルを実行します
• レジストリに同ファイルの情報を追加するかを確認するダイアログボックス内で [はい] ボタンをクリックします。

• お客様の PC にインストールされている カスペルスキー製品の定義データベース（脅威のシグネチャ）を最新のものに更新します。インターネット経由で必要なデータベースがダウンロードできない場合は、Zip アーカイブを利用して更新してください
• カスペルスキー製品を更新する方法
• 完全スキャンのセキュリティレベルを高レベルに設定します
• 完全スキャンを実行します
• スキャンが完了したら、Sality_RegKeys.zip ファイルから次のレジストリキーのファイルを実行します：
• Windows 2000 の場合は、レジストリファイルSafeBootWin200.reg を実行
• Windows XP の場合は、レジストリファイルSafeBootWinXP.regを実行
• Windows 2003 の場合は、レジストリファイルSafeBootWinServer2003.reg を実行
• Windows Vistaの場合は、レジストリファイルSafebootVista.reg を実行

-j パラメータを付加して SalityKiller.exe を実行することで、PC をセーフモードで起動するために必要なレジストリブランチ SafeBoot を復元できます。

SalityKiller.exe をコマンドラインから実行する場合のその他パラメータは、以下のとおりです：

-p <パス> - 特定のフォルダをスキャンします
-n - ネットワークディスクをスキャンします
-r - フラッシュドライブ、USB または Fire Wire で接続したリムーバブルディスクをスキャンします -y - ユーティリティが終了したときにウィンドウを閉じます
-s - サイレントモードでスキャンします (コンソールボックスが開きません)
-l <ファイル名> - ファイルにログを書き込みます
-v - 詳細なログを記録します (-l と組み合わせて使用してください)
-x - 隠しファイルとシステムファイルが表示されるようにします
-a - どのデバイスからも実行ファイルが自動実行しないようにします
-j - レジストリブランチ SafeBoot を復元します (このブランチが削除されていると、PC はセーフモードで起動できません)
-m - システムが感染しないように監視するためのモードです
-q - システムをスキャンし、監視モードに入ります
-k - すべてのディスクをスキャンし、Virus.Win32.Sality が作成した autorun.inf を検知して削除します。 また、autorun.inf に関連付けられた実行ファイルを (ファイルが感染駆除済みの場合も) 削除します