Mydoom ワーム、Zindos ワームおよび Doomjuice ワームを駆除するツール

先頭へ戻る

技術的な更新

• 2005 年 2 月 8 日 : マイクロソフトは、このツールを Microsoft Windows 悪意のあるソフトウェアの削除ツールに置き換えました。 悪意のあるソフトウェアの削除ツールの関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
  890830? (http://support.microsoft.com/kb/890830/ ) Windows Server 2003、Windows XP、または Windows 2000 を実行するコンピュータから、流行している特定の悪質なソフトウェアを削除する Microsoft Windows 悪意のある ソフトウェアの削除ツール
• 2004 年 8 月 4 日 : Mydoom Worm Removal Tool Version 4.0 を Windows Update Web サイトにリリースしました。
• 2004 年 7 月 30 日 : Mydoom Worm Removal Tool Version 4.0 を「Microsoft ダウンロード センター」にリリースしました。このバージョンでは、Mydoom の亜種 (E、F、G、J、L、O) および Zindos.A ワームの検出と駆除のサポートが追加されています。
• 2004 年 2 月 20 日 : Mydoom Worm Removal Tool Version 3.0 を Windows Update Web サイトにリリースしました。Version 3.0 は、この資料の対象製品として記載されている製品を実行しており、Mydoom.A、Mydoom.B または Doomjuice.A への感染が疑われるコンピュータに対し、重要な更新プログラムとして提供されます。このバージョンにより、Version 2.0 が置き換えられます。
• 2004 年 2 月 13 日 : Mydoom Worm Removal Tool Version 2.0 を Microsoft Windows Update Web サイトにリリースしました。Version 2.0 は、この資料の対象製品として記載されている製品を実行しており、Mydoom.A、Mydoom.B または Doomjuice.A への感染が疑われるコンピュータに対し、重要な更新プログラムとして提供されます。
• 2004 年 2 月 11 日 : Mydoom Worm Removal Tool Version 3.0 を「Microsoft ダウンロード センター」にリリースしました。Version 3.0 には、Doomjuice.B ワームの検出と駆除のサポートが追加されています。Version 1.0 または Version 2.0 を実行済みの場合でも、Doomjuice.B ワームに感染していないことを確認するために Version 3.0 を実行することをお勧めします。
• 2004 年 2 月 9 日 : Mydoom Worm Removal Tool Version 2.0 を「Microsoft ダウンロード センター」にリリースしました。Version 2.0 には、Doomjuice.A (Mydoom.C) ワームの検出と駆除のサポートが追加されています。また、Version 2.0 は Microsoft Windows 98、Microsoft Windows 98 Second Edition、Microsoft Windows Millennium Edition (Me)、および 32 ビット版の Microsoft Windows Server 2003 でも動作します。
• 2004 年 2 月 5 日 : Mydoom Removal Tool Version 1.0 を「Microsoft ダウンロード センター」にリリースしました。Version 1.0 は Microsoft Windows XP と Microsoft Windows 2000 で動作し、Mydoom.A ワームと Mydoom.B ワームの検出と駆除を行います。

先頭へ戻る

• コンピュータのパフォーマンスが低下したり、ネットワーク接続が遅くなったりします。
• アドレス帳に含まれる連絡先のユーザーから、こちらから送信していない電子メールを受信したという報告を受けます。
• 一部の Web サイトにアクセスできません。たとえば、マイクロソフトや一部のウイルス対策プログラムの製造元の Web サイトにアクセスできないことがあります。

先頭へ戻る

先頭へ戻る

ダウンロードおよびセットアップの情報

• Mydoom の亜種を含む電子メール メッセージの削除。
• 将来の再感染の防止。ワームに感染した別の電子メールの添付ファイルを実行すると、再感染することがあります。
• Mydoom の亜種によって作成されたバック ドア コンポーネントが原因でコンピュータに存在する悪質なプログラムの検出および削除。ただし、Zindos.A および Doomjuice の亜種 A と B の検出と削除は行われます。

先頭へ戻る

必要条件

• 使用中のコンピュータで、Windows 98、Windows 98 Second Edition、Windows Millennium Edition (Me)、Microsoft Windows 2000、Windows XP (32 ビット版) または Windows Server 2003 (32 ビット版) を実行していること
• コンピュータの管理者または Administrators グループのメンバとしてログオンしていること

先頭へ戻る

使用方法

1. Mydoom.A (Taskmon.exe)、Mydoom.B (Explorer.exe)、Mydoom.E (Taskmon.exe)、Mydoom.F (random_file.exe)、Mydoom.G (random_file.exe または random_file.scr)、Mydoom.J (Taskmon.exe)、Mydoom.L (Taskmon.exe)、Mydoom.O (Java.exe、Services.exe)、Zindos.A (random_file.exe)、Doomjuice.A (Intrenat.exe) および Doomjuice.B に感染した形跡がメモリ内にないかどうかが調べられます。感染の形跡が見つかると、ワームのプロセスは終了されます。
   
   注 : Taskmon.exe、Services.exe および Explorer.exe という名前の正規のプロセスも存在します。これらの正規のプロセスは削除されません。
2. ハード ディスクおよびレジストリの Run キーに、Mydoom の亜種 (A、B、E、F、G、J、L、O)、Doomjuice の亜種 (A、B) および Zindos.A の既知のファイルが存在しないかどうかが調べられます。ワームのファイルが検出されると、ワームのファイルとレジストリ エントリが削除されます。
3. Mydoom の亜種が残したバック ドア コンポーネントの形跡の有無が調べられます。これらのコンポーネントが検出されると、コンポーネントがメモリとレジストリから削除され、ハード ディスクからも削除されます。ワームによってレジストリから削除された Webcheck.dll と Stobject.dll のエントリが復元されます。
   
   注 : これらのコンポーネントをすぐに削除するために、エクスプローラ (Explorer.exe) の再起動が行われます。このとき、タスク バーがいったん消えて再び表示されます。この操作によって、実行中のアプリケーションに影響が及ぶことはありません。
4. Mydoom.B ワームが Hosts ファイルを上書きした形跡がないかどうかが調べられます。形跡がある場合、そのファイルは削除され、デフォルトの Hosts ファイルに置き換えられます。新しい Hosts ファイルは読み取り専用に設定されます。
5. ワームが実行済みであることを示すためにワーム自体によってレジストリに格納されたマーカーの有無が調べられ、削除されます。
6. 検出または駆除の結果を示すメッセージ ボックスが表示されます。表示されるメッセージには以下のようなものがあります。
   • No infection detected - Mydoom の亜種 (A、B、E、F、G、J、L、O)、Doomjuice の亜種 (A、B) および Zindos.A はコンピュータ上で検出されませんでした。
   • Successfully removed Mydoom. variant-letter - Mydoom ワームの亜種が駆除されました。他の操作を行う必要はありません。variant-letter には、A、B、E、F、G、J、L または O が入ります。
   • Successfully removed Zindos.A - Zindos.A が駆除されました。他の操作を行う必要はありません。
   • Successfully removed Doomjuice.A - Doomjuice.A が駆除されました。他の操作を行う必要はありません。
   • Successfully removed Doomjuice.B - Doomjuice.B が駆除されました。他の操作を行う必要はありません。
   • This tool must be run by an administrator - ツールを実行するには、いったんログオフし、管理者の資格情報を持つアカウントを使用してログオンし直す必要があります。
   • Fatal error, please review log file - ログ ファイルでエラーを調べ、必要に応じて Microsoft Product Support Services (PSS) に連絡してください。
   • Mydoom. variant-letter was detected, but could not be removed - ツールをもう一度実行し、ログ ファイルでエラーを調べてください。
   • Mydoom.B was detected, but could not be removed - ツールをもう一度実行し、ログ ファイルでエラーを調べてください。
   • Doomjuice.A was detected, but could not be removed - ツールをもう一度実行し、ログ ファイルでエラーを調べてください。
   • Doomjuice.B was detected, but could not be removed - ツールをもう一度実行し、ログ ファイルでエラーを調べてください。
   • Incorrect Windows version (Win32s) - このツールは、Win32 を使用する Windows 3.1 ではサポートされていません。

再起動の必要性

アンインストール情報

コマンド ライン スイッチ

• /Q - 非表示モードで実行します (ファイルの展開中にメッセージを一部表示しません)。
• /Q:U - ユーザー非表示モードを使用します (ユーザーにいくつかのダイアログ ボックスを表示します)。
• /Q:A - 管理者非表示モードを使用します (ユーザーに一切ダイアログ ボックスを表示しません)。
• /T:path - セットアップで使用される一時フォルダまたはファイルの展開先フォルダのパスを指定します (/C スイッチの使用時)。
• /C - インストールせずにファイルの展開のみを行います。/T: のパス (path) を指定していない場合は、展開先フォルダの入力を求められます。
• /C:cmd - ツールのインストールに使用する別のセットアップ .inf ファイルまたは .exe ファイルのパスと名前を指定します。
• /R:N - インストール完了後にコンピュータを再起動しません。
• /R:I - 再起動が必要な場合に、コンピュータの再起動を求めるメッセージを表示します (/Q:A スイッチを使用している場合は除きます)。
• /R:A - インストール完了後にコンピュータを必ず再起動します。
• /R:S - インストール完了後、ユーザーにメッセージを表示せずにコンピュータを再起動します。

• /S - ツールでサイレント モードを有効にします (ツールの実行後に、感染状態を示すダイアログ ボックスが表示されなくなります)。

先頭へ戻る

よく寄せられる質問

• Q1 : このツールで Mydoom を駆除できますか。
  
  A1 : Mydoom Worm Removal Tool Version 4.0 は、この資料の対象製品として記載されている製品を実行するコンピュータがワームに感染している場合に、Mydoom ワームの亜種 (A、B、E、F、G、J、L、O)、Zindos.A ワームおよび Doomjuice ワームの亜種 (A、B) を駆除するのに役立ちます。
• Q2 : このツールで Mydoom からコンピュータを保護することはできますか。
  
  A2 : できません。Mydoom Worm Removal Tool は、実行後、コンピュータには残りません。ワームに感染した電子メールの添付ファイルを再度実行すると、コンピュータが再感染するおそれがあります。このツールでは、電子メール メッセージに含まれている Mydoom.A ワームまたは Mydoom.B ワームを駆除することはできません。
• Q3 : このツールで Mydoom のバック ドア コンポーネントを削除できますか。
  
  A3 : 削除できます。このツールを実行すると、Mydoom.A および Mydoom.B によって作成されるバック ドア コンポーネントが削除されます。
  
  バック ドアの詳細については、次のマイクロソフト Web サイトを参照してください。
  http://www.microsoft.com/japan/technet/itsolutions/msit/security/msirsec.asp (http://www.microsoft.com/japan/technet/itsolutions/msit/security/msirsec.asp)
  ただし、バック ドア コンポーネントが原因でコンピュータ上に存在する悪質なソフトウェア (Zindos.A および Doomjuice.A と B 以外) の検出や削除は行われません。
• Q4 : Mydoom.A ワームと Novarg ワームの違いを教えてください。
  
  A4 : Mydoom.A、MiMail.R および Novarg.A はすべて同じワームを表します。ウイルスやワームの名称は、ウイルス対策プログラムの製造元によって異なる場合があります。
• Q5 : このツールのしくみを教えてください。
  
  A5 : このツールは、IExpress インストール パッケージの形式で提供されます。インストーラを実行すると、Doomcln.exe ファイルが一時フォルダに展開され、実行されます。Doomcln.exe のバージョン 4.0 では、コンピュータ上に存在する Mydoom の亜種 (A、B、E、F、G、J、L、O)、Doomjuice A と B、および Zindos.A のコピーがすべて削除されます。以上の作業が完了すると、状態を通知するダイアログ ボックスが表示され、Doomcln.exe は終了します。Doomcln.exe は自動的に一時フォルダから削除されます。インストーラ パッケージは手動で削除してかまいません。IExpress インストール パッケージの関連情報については、次のマイクロソフト Web サイトを参照してください。
  http://www.microsoft.com/windows/ieak/techinfo/deploy/60/en/default.mspx (http://www.microsoft.com/windows/ieak/techinfo/deploy/60/en/default.mspx)
• Q6 : Mydoom Worm Removal Tool は再配布できますか。
  
  A6 : 再配布はできません。Mydoom Worm Removal Tool は、すべてのユーザーがマイクロソフト Web サイトからダウンロードする必要があります。
• Q7 : Doomcln.exe は再配布できますか。
  
  A7 : 再配布はできません。Doomcln.exe の再配布はサポートされていません。
• Q8 : このツールは、マイクロソフトによりデジタル署名されていますか。
  
  A8 : インストーラ パッケージと Doomcln.exe は、どちらもマイクロソフトによりデジタル署名されています。
• Q9 : このツールを実行することにより、コンピュータの構成が変更されることはありますか。
  
  A9 : 変更される可能性があります。コンピュータが感染していた場合、さらなる攻撃を防ぐため、このツールにより Hosts ファイルに読み取り専用フラグがセットされます。また、レジストリ内の Webcheck.dll のエントリが復元されます。これは、Mydoom ワームの感染の際に Webcheck.dll のエントリが上書きされるためです。
• Q10 : このツールを削除 (アンインストール) することはできますか。
  
  A10 : 削除できます。この資料の「アンインストール情報」を参照してください。
• Q11 : 他の言語用のツールも公開されますか。
  
  A11 : 現時点では英語 (米国) 版のみが公開されています。
• Q12 : 64 ビット版の Windows XP を実行していますが、このツールをインストールすることはできますか。
  
  A12 : できません。このツールで現在サポートされているのは、32 ビット版のオペレーティング システムのみです。
• Q13 : このツールの Windows インストーラ パッケージはありますか。
  
  A13 : ありません。このツールでは、IExpress パッケージが使用されています。
• Q14 : ウイルス対策プログラムの製造元によって公開されている Mydoom 駆除ツールを実行済みの場合、または最新のウイルス対策プログラムを使用している場合でも、このツールをインストールする必要がありますか。
  
  A14 : 通常は必要ありません。ウイルス対策プログラムの製造元が提供する Mydoom 駆除ツールを使用すれば、通常、Mydoom は駆除されます。ただし、感染していないコンピュータに Microsoft Mydoom Worm Removal Tool をインストールしても、悪影響はありません。
• Q15 : このツールにより、使用しているコンピュータから情報が収集され、マイクロソフトに送信されることはありますか。
  
  A15 : このツールのインストールまたは実行によってマイクロソフトに情報が送信されることはありません。
• Q16 : このツールの実行後も、システムで Explorer.exe または Taskmon.exe が実行されています。このツールでこれらのファイルが削除されなかった理由を教えてください。
  
  A16 : Explorer.exe および Taskmon.exe というファイル名は、Mydoom の亜種でも使用されますが、本来は正規のファイルの名前です。これらのファイルがツールによって削除されていない場合、そのファイルは正規のファイルであり、感染していないと考えられます。感染していないことを確認するには、最新のウイルス対策プログラムを使用してください。
• Q17 : このツールを実行しても、使用しているコンピュータから Mydoom または Doomjuice が駆除されない場合、どうしたらよいですか。
  
  A17 : コンピュータで最新のウイルス対策プログラムを実行してください。
• Q18 : このツールにより、感染の検出または駆除を確認するためのログ ファイルは生成されますか。生成される場合、ログ ファイルの名前と場所を教えてください。
  
  A18 : この資料の「使用方法」を参照してください。
• Q19 : このツールの実行がコンピュータで完了したことを確認する方法を教えてください。
• A19 : ツールの実行結果を表示するダイアログ ボックスで [OK] をクリックすると、コンピュータ上のツールの実行は完了します。実行結果を確認するには、ログ ファイル Doomcln.log を参照します。詳細については、「使用方法」を参照してください。
• Q20 : このツールのインストール中に、致命的なエラーが発生しました。このエラーの意味を教えてください。
  
  A20 : ログ ファイル Doomcln.log を確認してください。発生することの多い Fatal error (致命的なエラー) メッセージには、以下のようなものがあります。
  Out of memory when trying to allocate or when creating a small internal journal for the log.
  (ログ用の小さな内部ジャーナルの割り当て時または作成時にメモリが不足しました。)
  Failure of file deletion AND failure to set the attribute to delete the file on next reboot.
  (ファイルを削除できませんでした。次の起動時にファイルを削除するための属性も設定できませんでした。)
  Failure to enumerate processes.
  (プロセスを列挙できませんでした。)
  Doomcln.log ファイルの詳細については、「使用方法」を参照してください。
• Q21 : ネットワーク上のリモート コンピュータに対してこのツールを実行できますか。
  
  A21 : 実行できません。
• Q22 : このツールはウイルス対策製品の代わりになりますか。
  
  A22 : いいえ、代わりにはなりません。最新のウイルス対策プログラムをインストールして使用してください。
• Q23 : 使用中のウイルス対策プログラムがこのツールに影響を及ぼすことはありますか。
  
  A23 : ワームに感染しているコンピュータで Doomcln.exe を実行するときにウイルス対策プログラムが実行されていると、ウイルス対策プログラムによって Mydoom ワームが検出されるために、Doomcln.exe による Mydoom ワームの駆除が実行されないことがあります。この場合、感染している Mydoom ワームは、ウイルス対策プログラムを使用して駆除できます。
  
  注 : Doomcln.exe にはウイルスやワームは含まれていないため、このツール自体が原因でウイルス対策プログラムによる駆除が実行されることはありません。ただし、最新のウイルス対策プログラムをインストールする前にコンピュータが Mydoom ワーム、Zindos ワームまたは Doomjuice ワームに感染していて、定期的な (またはバックグラウンドの) ウイルス スキャンを無効にしていた場合、Microsoft Mydoom Worm Removal Tool による駆除が試行されるまで、ウイルス対策プログラムによってワームが検出されないことがあります。この場合を除き、Mydoom Worm Removal Tool がウイルス対策プログラムと競合を起こしたり、ウイルス対策プログラムの実行を妨げたりすることはありません。Mydoom Worm Removal Tool のインストール時にウイルス対策プログラムを無効にしたり、削除したりする必要はありません。
• Q24 : このツールは Windows XP のシステムの復元機能とどのように連動しますか。
  
  A24 : このツールではシステムの復元ポイントは作成されません。
• Q25 : Microsoft Baseline Security Analyzer (MBSA) を使用して、このツールのインストールが必要なコンピュータを特定することはできますか。
  
  A25 : できません。
• Q26 : このツールの実行に必要なユーザー権限およびその他の必要条件について教えてください。
  
  A26 : 「必要条件」を参照してください。
• Q27 : このツールは Windows XP Service Pack 2 に収められますか。
  
  A27 : その予定はありません。
• Q28 : インストーラ パッケージから Doomcln.exe を抽出する方法を教えてください。
  
  A28 : /T:path スイッチおよび /C スイッチを指定してインストーラ パッケージを実行すると、path に指定した場所に Doomcln.exe を抽出できます。Doomcln.exe は実行されません。また、実行後に Doomcln.exe が削除されることもありません。詳細については、「コマンド ライン スイッチ」を参照してください。
• Q29 : このツールの実行時にタスク バーがいったん消えて再表示されるのはなぜですか。
  
  A29 : この現象は、コンピュータがワームに感染している場合に発生します。タスク バーがいったん消えて再表示されるのは、ワームを完全に駆除するためにエクスプローラを再起動しているためです。これは正常な動作であり、他のアプリケーションの実行を妨げることはありません。
• Q30 : このツールの以前のバージョンを実行済みですが、今すぐ最新版を実行する必要はありますか。
  
  A30 : はい。Mydoom の亜種 (E、F、G、J、L、O) または Zindos.A に感染していないことを確認するために、Mydoom Worm Removal Tool の最新版を実行することをお勧めします。
• Q31 : Windows Update と自動更新でこのツールを入手できません。理由を教えてください。
  
  A31 : 使用中のコンピュータが Mydoom の亜種 (A、B、E、F、J、L、O)、Zindos または Doomjuice の亜種 (A、B) に感染している疑いがない場合、Windows Update および自動更新でこのツールを入手することはできません。
• Q32 : コンピュータが Mydoom の複数の亜種に感染している場合の対処方法を教えてください。
  
  A32 : Mydoom Worm Removal Tool では、検出された亜種がすべて駆除されます。ただし、駆除処理の最後に表示される Windows メッセージ ボックスには、ツールで最後に駆除された亜種のみが表示されます。

先頭へ戻る

リリース情報

Mydoom Worm Removal Tool

Mydoom ワームと Doomjuice ワームの亜種

先頭へ戻る