Win32/Conficker ワームに関するウイルス対策情報

グループ ポリシーの設定を使用することにより Win32/Conficker の拡散を停止する

注:

• 重要: この資料に記載されている変更を行う前に、現在の設定をすべて文書化してください。

• この手順では、システムから Conficker マルウェアは削除されません。 マルウェアの拡散のみを停止します。 システムから Conficker マルウェアを削除するには、ウイルス対策製品を使用する必要があります。 または、この資料の「Win32/Conficker ウイルスを手動で削除する手順」の手順に従って、システムから手動でマルウェアを削除します。
  
  
  
  
  
  
  

• 以下の手順で推奨されているアクセス許可の変更が実施されている間、アプリケーション、Service Pack、またはその他の更新プログラムを正常にインストールできない場合があります。 これには、Windows Update、Microsoft Windows Server Update Services (WSUS) サーバー、および System Center Configuration Manager (SCCM) を使用した更新プログラムの適用が含まれます (ただし、これらに限定されません) が、これはこれらの製品が自動更新のコンポーネントに依存しているためです。 システムをクリーンアップした後は、アクセス許可を元の既定の設定に戻してください。

• 「グループ ポリシー オブジェクトの作成」に記載されている SVCHOST レジストリ キーおよび Tasks フォルダーの既定のアクセス許可の詳細については、この資料の後半の「既定のアクセス許可の表」を参照してください。
  

グループ ポリシー オブジェクトの作成

環境で必要である、特定の組織単位 (OU)、サイト、またはドメインのすべてのコンピューターに適用される新しいグループ ポリシー オブジェクト (GPO) を作成します。

これを実行するには、以下の手順を実行します。

1. ポリシーを設定して、以下のレジストリ サブキーに対する書き込みのアクセス許可を削除します。

   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost これにより、ランダムな名前のマルウェア サービスが、netsvcs レジストリ値で作成されなくなります。
   
   これを実行するには、以下の手順を実行します。
   

   1. グループ ポリシー管理コンソール (GPMC) を開きます。

   2. 新しい GPO を作成します。 それに任意の名前を付けます。

   3. 新しい GPO を開き、以下のフォルダーに移動します。

      コンピューターの構成\Windows の設定\セキュリティの設定\レジストリ

   4. [レジストリ] を右クリックし、[キーの追加] をクリックします。

   5. [レジストリ キーの選択] ダイアログ ボックスで [コンピューター] を展開し、以下のフォルダーに移動します。

      Software\Microsoft\Windows NT\CurrentVersion\Svchost

   6. [OK] をクリックします。

   7. 表示されるダイアログ ボックスで、[管理者] と [システム] 両方の [フル コントロール] チェック ボックスをオフにします。

   8. [OK] をクリックします。

   9. [オブジェクトの追加] ダイアログ ボックスで、[すべてのサブ キーの既存のアクセス許可を継承可能なアクセス許可で置き換える] をクリックします。

   10. [OK] をクリックします。

2. ポリシーを設定して、%windir%\Tasks フォルダーに対する書き込みのアクセス許可を削除します。 これにより、Conficker マルウェアは、システムに再感染する可能性があるタスクを作成できなくなります。
   
   これを実行するには、以下の手順を実行します。
   

   1. 前に作成した同じ GPO で、以下のフォルダーに移動します。

      コンピューターの構成\Windows の設定\セキュリティの設定\ファイル システム

   2. [ファイル システム] を右クリックし、[ファイルの追加] をクリックします。

   3. [ファイルまたはフォルダーを追加します] ダイアログ ボックスで、%windir%\Tasks フォルダーに移動します。 [フォルダー] ダイアログ ボックスで [タスク] が選択され、表示されていることを確認します。

   4. [OK] をクリックします。

   5. ダイアログ ボックスが開いたら、[管理者]、[システム] の両方で [フル コントロール]、[修正]、[書き込み] チェック ボックスをオフにします。

   6. [OK] をクリックします。

   7. [オブジェクトの追加] ダイアログ ボックスで、[すべてのサブ キーの既存のアクセス許可を継承可能なアクセス許可で置き換える] をクリックします。

   8. [OK] をクリックします。

3. 自動再生 (自動実行) 機能を無効に設定します。 これにより、Conficker マルウェアは、Windows に組み込まれている自動再生機能を使用して拡散することはできなくなります。
   
   
   注: 使用している Windows のバージョンに応じて、自動実行機能を適切に無効にするためにインストールする必要があるさまざまな更新プログラムが存在します。
   
   

   • Windows Vista または Windows Server 2008 で自動実行機能を無効にするには、セキュリティ更新プログラム 950582 がインストールされている必要があります (セキュリティ情報 MS08-038 に記載)。

   • Windows XP、Windows Server 2003、または Windows 2000 で自動実行機能を無効にするには、セキュリティ更新プログラム 950582、更新プログラム 967715、または更新プログラム 953252 がインストールされている必要があります。

   
   
   自動再生 (自動実行) 機能を無効に設定するため、以下の手順を実行します。
   

   1. 前に作成した同じ GPO で、以下のいずれかのフォルダーに移動します。
      

      • Windows Server 2003 ドメインの場合は、以下のフォルダーに移動します。

        コンピューターの構成\管理用テンプレート\システム

      • Windows 2008 ドメインの場合は、以下のフォルダーに移動します。

        コンピューターの構成\管理用テンプレート\Windows コンポーネント\自動再生のポリシー

   2. [自動再生機能をオフにする] ポリシーを開きます。

   3. [自動再生機能をオフにする] ダイアログ ボックスで、[有効] をクリックします。

   4. ドロップダウン メニューの [すべてのドライブ] をクリックします。

   5. [OK] をクリックします。

4. グループ ポリシー管理コンソールを閉じます。

5. 新しく作成した GPO を、適用先の場所にリンクします。

6. グループ ポリシーの設定がすべてのコンピューターを更新する十分な時間を考慮します。 通常、グループ ポリシーは各ドメイン コントローラーにレプリケートされるのに 5 分を要し、システムの残りにレプリケートされるのに 90 分を要します。 数時間で十分ですが、 環境によってはより多くの時間が必要な場合があります。

7. グループ ポリシーの設定が反映された後で、マルウェアのシステムをクリーンアップします。
   
   これを実行するには、以下の手順を実行します。
   

   1. すべてのコンピューターに対して完全ウイルス対策スキャンを実行します。

   2. ご使用のウイルス対策ソフトウェアで Conficker が検出されなかった場合は、Microsoft Safety Scanner を使用してマルウェアをクリーンアップすることができます。詳細については、次のマイクロソフト Web サイトを参照してください。http://www.microsoft.com/security/scanner/ja-jp/default.aspx注: マルウェアの影響をすべてクリーンアップするには、手動の手順をいくつか実行する必要がある場合があります。マルウェアの影響をすべてクリーンアップするには、この資料の「Win32/Conficker ウイルスを手動で削除する手順」に記載されている手順を確認することをお勧めします。

Microsoft Safety Scanner を実行する

Microsoft Malware Protection Center は、Microsoft Safety Scanner を更新しました。このツールは、流行している悪質なソフトウェアの削除に役立つスタンドアロン バイナリで、Win32/Conficker マルウェア ファミリを削除することができます。

注: Microsoft Safety Scanner はリアルタイム ウイルス対策プログラムではないため、再感染を防止しません。

Microsoft Safety Scanner は、以下のマイクロソフト Web サイトからダウンロードできます。

http://www.microsoft.com/security/scanner/ja-jp/default.aspx
注: Stand-Alone System Sweeper ツールもこの感染を削除します。 このツールは、Microsoft Desktop Optimization Pack 6.0 のコンポーネントとして、または Customer Service and Support を通じて入手できます。Microsoft Desktop Optimization Pack を入手するには、次のマイクロソフト Web サイトを参照してください。

http://www.microsoft.com/japan/windows/products/windowsvista/enterprise/mdopoverview.mspx システムで Windows Live OneCare または Microsoft Forefront Client Security が実行されている場合、これらのプログラムも、脅威がインストールされる前に脅威をブロックします。

Win32/Conficker ウイルスを手動で削除する手順

注:

• 以下の手動の手順は必要なく、使用する必要があるのは、Conficker ウイルスを削除するウイルス対策ソフトウェアがない場合のみです。

• コンピューターが感染している Win32/Conficker の亜種に応じて、このセクションで言及されている値の一部は、ウイルスにより変更されていない場合があります。

以下の詳細な手順を実行すると、システムから手動で Conficker を削除することができます。

1. ローカル アカウントを使用してシステムにログオンします。
   
   
   重要: 可能であれば、システムへのログオンには Domain アカウントを使用しないでください。 特に、ログオンには Domain Admin アカウントを使用しないでください。 マルウェアはログオンしているユーザーを偽装し、ログオンしているユーザー資格情報を使用してネットワーク リソースにアクセスします。 この動作により、マルウェアの拡散が可能になります。

2. Server サービスを停止します。 これによりシステムから管理共有が取り除かれ、マルウェアはこの方式を使用して拡散することはできなくなります。
   
   
   注: 環境でマルウェアをクリーンアップする間に一時的にのみ、Server サービスを無効にする必要があります。 この手順はネットワーク リソースの可用性に影響するため、運用サーバーでは特に重要です。 環境がクリーンアップされたら、すぐに Server サービスを再度有効にすることができます。
   
   
   Server サービスを停止するには、[サービス] Microsoft 管理コンソール (MMC) を使用します。 これを実行するには、以下の手順を実行します。
   

   1. システムに応じて、次の操作を実行します。
      

      • Windows Vista および Windows Server 2008 では、[スタート] をクリックし、[検索の開始] ボックスに「services.msc」と入力し、[プログラム] の一覧の [services.msc] をクリックします。

      • Windows 2000、Windows XP、および Windows Server 2003 では、[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックし、「services.msc」と入力します。次に、[OK] をクリックします。

   2. [サーバー] をダブルクリックします。

   3. [停止] をクリックします。

   4. [スタートアップの種類] ボックスで、[無効] を選択します。

   5. [適用] をクリックします。

3. AT の作成によるスケジュールされたタスクをすべて削除します。 このためには、コマンド プロンプトで「AT/Delete/Yes」と入力します。

4. タスク スケジューラー サービスを停止します。
   

   • Windows 2000、Windows XP、および Windows Server 2003 でタスク スケジューラー サービスを停止するには、[サービス] Microsoft 管理コンソール (MMC) または SC.exe ユーティリティを使用します。

   • Windows Vista または Windows Server 2008 でタスク スケジューラー サービスを停止するには、次の手順を実行します。
     
     重要: このセクション、方法、またはタスクには、レジストリの変更方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 レジストリを変更する際には十分に注意してください。 万一に備えて、編集の前にレジストリをバックアップしてください。 問題が発生した場合でも、レジストリを復元できます。 レジストリのバックアップ方法および復元方法の関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。

     322756Windows でレジストリをバックアップおよび復元する方法

     1. [スタート] ボタンをクリックし、[検索の開始] ボックスに「regedit」と入力します。次に、[プログラム] の一覧の [regedit.exe] をクリックします。

     2. 次のレジストリ サブキーを見つけてクリックします。

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule

     3. 詳細ウィンドウで、[Start] DWORD エントリを右クリックし、[変更] をクリックします。

     4. [値のデータ] ボックスに「4」と入力し、[OK] をクリックします。

     5. レジストリ エディターを終了し、コンピューターを再起動します。
        
        
        
        注: 環境でマルウェアをクリーンアップする一時的な間にのみ、タスク スケジューラー サービスを無効にする必要があります。 この手順はさまざまな組み込みのスケジュール タスクに影響するため、Windows Vista および Windows Server 2008 では特に重要です。 環境がクリーンアップされたら、すぐに Server サービスを再度有効にします。
        

5. セキュリティ更新プログラム 958644 (MS08-067) をダウンロードし、手動でインストールします。 詳細については、以下のマイクロソフト Web サイトを参照してください。

   http://www.microsoft.com/japan/technet/security/bulletin/MS08-067.mspx注: マルウェアに感染しているために、このサイトがブロックされる場合があります。 この場合は、感染していないコンピューターから更新プログラムをダウンロードしてから、感染しているシステムに更新プログラム ファイルを転送する必要があります。 書き込みが完了した CD は書き込み不可能であり、CD は感染する可能性がないため、更新プログラムを CD に書き込むことを推奨します。 書き込み可能な CD ドライブが使用できない場合は、リムーバブル USB メモリ ドライブが、感染しているシステムに更新プログラムをコピーする唯一の手段である場合があります。 リムーバブル ドライブを使用する場合は、マルウェアが Autorun.inf ファイルを使用してドライブに感染する可能性があることに注意してください。 リムーバブル ドライブに更新プログラムをコピーした後、ドライブを読み取り専用モードに変更したことを確認します (デバイスでオプションが使用できる場合)。 読み取り専用モードが使用できる場合は、通常、デバイス上の物理スイッチを使用して有効にします。 続いて、感染したコンピューターに更新プログラム ファイルをコピーした後、ドライブに Autorun.inf ファイルが書き込まれているかどうか、リムーバブル ドライブを確認します。 書き込まれている場合は、Autorun.inf ファイルを Autorun.bad のような名前に変更し、リムーバブル ドライブがコンピューターに接続されたときに自動再生を実行できないようにします。

6. Local Admin および Domain Admin のすべてのパスワードを再設定し、新しい強力なパスワードを使用します。 詳細については、以下のマイクロソフト Web サイトを参照してください。

   http://technet.microsoft.com/ja-jp/library/cc875814.aspx

7. レジストリ エディターで、次のレジストリ サブキーを見つけて、キーをクリックします。

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost

8. 詳細ウィンドウで、[netsvcs] エントリを右クリックし、[変更] をクリックします。

9. コンピューターが Win32/Conficker ウイルスに感染している場合、ランダムなサービス名が表示されます。
   
   
   注: Win32/Conficker.B では、サービス名はランダムな文字で、一覧の一番下にありました。 新しい亜種では、サービス名は一覧の任意の場所にあり、また正しい意味を持っているように思える場合があります。 ランダムなサービス名が一番下にない場合は、システムをこの手順の「サービスの表」と比較して、どのサービス名が Win32/Conficker により追加された可能性があるのかを確認します。 確認するには、「サービスの表」の一覧を、感染していないことが判明している同じようなシステムと比較します。
   
   
   マルウェア サービスの名前をメモします。 後の手順でこの情報が必要になります。

10. マルウェア サービスへの参照を含む行を削除します。 最後の正当なエントリの下に空白の改行が残っていることを確認し、[OK] をクリックします。
    
    
    
    サービスの表に関する注意

    • サービスの表にあるすべてのエントリは有効なエントリですが、太字で強調してある項目を除きます。

    • 太字で強調してある項目は、SVCHOST レジストリ キーの netsvcs 値に Win32/Conficker ウイルスが追加した可能性がある項目の例です。

    • これは、システムにインストールされている項目に応じて、サービスの完全な一覧ではない場合があります。

    • サービスの表は Windows の既定のインストールに由来します。

    • Win32/Conficker ウイルスが一覧に追加するエントリは、難読化テクニックです。 最初の文字に似ていると考えられる、強調表示された悪意のあるエントリは小文字の "L" です。 ところが、実際には大文字の "I" です。 オペレーティング システムにより使用されるフォントのため、大文字の "I" は小文字の "L" のように見えます。

    サービスの表

    Windows Server 2008	Windows Vista	Windows Server 2003	Windows XP	Windows 2000
    AeLookupSvc	AeLookupSvc	AppMgmt	6to4	EventSystem
    wercplsupport	wercplsupport	AudioSrv	AppMgmt	Ias
    Themes	Themes	Browser	AudioSrv	Iprip
    CertPropSvc	CertPropSvc	CryptSvc	Browser	Irmon
    SCPolicySvc	SCPolicySvc	DMServer	CryptSvc	Netman
    lanmanserver	lanmanserver	EventSystem	DMServer	Nwsapagent
    gpsvc	gpsvc	HidServ	DHCP	Rasauto
    IKEEXT	IKEEXT	Ias	ERSvc	Iaslogon
    AudioSrv	AudioSrv	Iprip	EventSystem	Rasman
    FastUserSwitchingCompatibility	FastUserSwitchingCompatibility	Irmon	FastUserSwitchingCompatibility	Remoteaccess
    Ias	Ias	LanmanServer	HidServ	SENS
    Irmon	Irmon	LanmanWorkstation	Ias	Sharedaccess
    Nla	Nla	Messenger	Iprip	Ntmssvc
    Ntmssvc	Ntmssvc	Netman	Irmon	wzcsvc
    NWCWorkstation	NWCWorkstation	Nla	LanmanServer
    Nwsapagent	Nwsapagent	Ntmssvc	LanmanWorkstation
    Rasauto	Rasauto	NWCWorkstation	Messenger
    Rasman	Rasman	Nwsapagent	Netman
    Iaslogon	Iaslogon	Iaslogon	Iaslogon
    Remoteaccess	Remoteaccess	Rasauto	Nla
    SENS	SENS	Rasman	Ntmssvc
    Sharedaccess	Sharedaccess	Remoteaccess	NWCWorkstation
    SRService	SRService	Sacsvr	Nwsapagent
    Tapisrv	Tapisrv	Schedule	Rasauto
    Wmi	Wmi	Seclogon	Rasman
    WmdmPmSp	WmdmPmSp	SENS	Remoteaccess
    TermService	TermService	Sharedaccess	Schedule
    wuauserv	wuauserv	Themes	Seclogon
    BITS	BITS	TrkWks	SENS
    ShellHWDetection	ShellHWDetection	TrkSvr	Sharedaccess
    LogonHours	LogonHours	W32Time	SRService
    PCAudit	PCAudit	WZCSVC	Tapisrv
    helpsvc	helpsvc	Wmi	Themes
    uploadmgr	uploadmgr	WmdmPmSp	TrkWks
    iphlpsvc	iphlpsvc	winmgmt	W32Time
    seclogon	seclogon	wuauserv	WZCSVC
    AppInfo	AppInfo	BITS	Wmi
    msiscsi	msiscsi	ShellHWDetection	WmdmPmSp
    MMCSS	MMCSS	uploadmgr	winmgmt
    browser	ProfSvc	WmdmPmSN	TermService
    winmgmt	EapHost	xmlprov	wuauserv
    SessionEnv	winmgmt	AeLookupSvc	BITS
    ProfSvc	schedule	helpsvc	ShellHWDetection
    EapHost	SessionEnv		helpsvc
    hkmsvc	browser		xmlprov
    schedule	hkmsvc		wscsvc
    AppMgmt	AppMgmt		WmdmPmSN
    sacsvr			hkmsvc

    >

11. 前の手順では、マルウェア サービスの名前をメモしました。 この資料の例では、マルウェア エントリの名前は "Iaslogon" でした。 この情報を使用して、以下の手順を実行します。
    

    1. レジストリ エディターで、次のレジストリ サブキーを見つけて、キーをクリックします。BadServiceName はマルウェア サービスの名前です。

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BadServiceName たとえば、次のレジストリ サブキーを見つけてクリックします。

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iaslogon

    2. マルウェア サービス名のナビゲーション ウィンドウでサブキーを右クリックして、[アクセス許可] をクリックします。

    3. [SvcHost のアクセス許可] ダイアログ ボックスで、[詳細設定] をクリックします。

    4. [セキュリティの詳細設定] ダイアログ ボックスで、次のチェック ボックスを両方ともオンにします。

       [子オブジェクトに適用するアクセス許可エントリを親から継承し、それらをここで明示的に定義されているものに含める]
       
       [子オブジェクトすべてのアクセス許可エントリを、ここに表示されているエントリで子オブジェクトに適用するもので置換する]

12. F5 キーを押してレジストリ エディターを更新します。 詳細ウィンドウでは、"ServiceDll" として読み込まれているマルウェアの DLL を表示および編集できるようになります。これを行うには、次の手順を実行します。
    

    1. [ServiceDll] をダブルクリックします。

    2. 参照されている DLL のパスをメモします。 後の手順でこの情報が必要になります。 たとえば、参照されている DLL のパスは次のようになっています。 %SystemRoot%\System32\doieuln.dll 参照の名前を次のように変更します。 %SystemRoot%\System32\doieuln.old

    3. [OK] をクリックします。

13. レジストリの [Run] サブキーからマルウェア サービスのエントリを削除します。
    

    1. レジストリ エディターで、次のレジストリ サブキーを見つけて、キーをクリックします。

       HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
       HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    2. 両方のサブキーで、"rundll32.exe" で始まり、手順 12b. で特定した "ServiceDll" として読み込まれるマルウェアの DLL も参照するエントリを見つけます。 そのエントリを削除します。

    3. レジストリ エディターを終了し、コンピューターを再起動します。

14. システム上のすべてのドライブで Autorun.inf ファイルを確認します。 メモ帳を使用して各ファイルを開き、有効な Autorun.inf ファイルであることを確認します。 通常の有効な Autorun.inf ファイルの例を次に示します。
    

    [autorun]
    shellexecute=Servers\splash.hta *DVD*
    icon=Servers\autorun.ico
    

    通常、有効な Autorun.inf は 1 ～ 2 KB です。

15. 有効ではないと考えられるすべての Autorun.inf ファイルを削除します。

16. コンピューターを再起動します。

17. 隠しファイルを表示します。このためには、コマンド プロンプトで次のコマンドを入力します。

    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f

18. ファイルを表示できるように、[すべてのファイルとフォルダーを表示する] を設定します。 これを実行するには、以下の手順を実行します。
    

    1. 手順 12b. では、マルウェアの参照されている .dll ファイルのパスをメモしました。たとえば、次のようなパスをメモしています。

       %systemroot%\System32\doieuln.dll エクスプローラーで、%systemroot%\System32 ディレクトリ、またはマルウェアが含まれるディレクトリを開きます。

    2. [ツール] メニューをクリックし、[フォルダー オプション] をクリックします。

    3. [表示] タブをクリックします。

    4. [すべてのファイルとフォルダーを表示する] チェック ボックスをオンにします。

    5. [OK] をクリックします。

19. この .dll ファイルを選択します。

20. ファイルのアクセス許可を編集し、Everyone にフル コントロールを追加します。 これを実行するには、以下の手順を実行します。
    

    1. .dll ファイルを右クリックし、[プロパティ] をクリックします。

    2. [セキュリティ] タブをクリックします。

    3. [Everyone] をクリックし、[許可] 列の [フル コントロール] チェック ボックスをオンにします。

    4. [OK] をクリックします。

21. マルウェアの参照されている .dll ファイルを削除します。 たとえば、%systemroot%\System32\doieuln.dll ファイルを削除します。

22. [サービス] Microsoft Management Console (MMC) を使用して、BITS、自動更新、エラー報告、および Windows Defender の各サービスを有効にします。

23. 再感染の影響を小さくできるように、自動再生をオフにします。 これを実行するには、以下の手順を実行します。
    

    1. システムに応じて、次のいずれかの更新プログラムをインストールします。
       

       • Windows 2000、Windows XP、または Windows Server 2003 を実行している場合は、更新プログラム 967715 をインストールします。
         関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
         
         

         967715Windows の自動実行機能を無効にする方法
         
         

       • Windows Vista または Windows Server 2008 を実行している場合は、セキュリティ更新プログラム 950582 をインストールします。
         関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。

         950582[MS08-038] Windows エクスプローラーの脆弱性により、リモートでコードが実行される

       注: 更新プログラム 967715 およびセキュリティ更新プログラム 950582 は、このマルウェアの問題に関連しません。手順 23b. でレジストリの機能を有効にするために、これらの更新プログラムをインストールする必要があります。

    2. コマンド プロンプトで次のコマンドを入力します。

       reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 0xff /f

24. システムで Windows Defender を実行している場合は、Windows Defender の自動起動の場所を再度有効にします。 このためには、コマンド プロンプトで次のコマンドを入力します。

    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Windows Defender" /t REG_EXPAND_SZ /d "%ProgramFiles%\Windows Defender\MSASCui.exe –hide" /f

25. Windows Vista 以降のオペレーティング システムでは、マルウェアにより、TCP 受信ウィンドウの自動チューニングのグローバル設定が無効に変更されます。 この設定を元に戻すには、コマンド プロンプトで次のコマンドを実行します。

    netsh interface tcp set global autotuning=normal

この手順を完了した後でコンピューターが再度感染したと考えられる場合は、以下のいずれかが該当することがあります。

• 自動起動の場所のいずれかが削除されていない。 たとえば、AT ジョブが削除されていないか、Autorun.inf ファイルが削除されていない。

• MS08-067 のセキュリティ更新プログラムが正しくインストールされていない。

このマルウェアにより、この資料には記載されていないその他の設定が変更される場合があります。 Win32/Conficker の最新の詳細情報については、次の Microsoft Malware Protection Center Web ページを参照してください。

http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker

システムがクリーンであることを確認する

次のサービスが開始されていることを確認します。

• 自動更新 (wuauserv)

• バックグラウンド インテリジェント転送サービス (BITS)

• Windows Defender (windefend) (該当する場合)

• Windows エラー報告サービス

このためには、コマンド プロンプトで次のコマンドを入力します。 各コマンドの後に Enter キーを押してください。

Sc.exe query wuauserv
Sc.exe query bits
Sc.exe query windefend
Sc.exe query ersvc

各コマンドの実行後には、次のようなメッセージが表示されます。

SERVICE_NAME: wuauserv
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
この例で、"STATE : 4 RUNNING" はサービスが実行中であることを示します。

SvcHost レジストリ サブキーの状態を確認するには、次の手順を実行します。

1. レジストリ エディターで、次のレジストリ サブキーを見つけて、キーをクリックします。

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost

2. 詳細ウィンドウで、[netsvcs] をダブルクリックして、表示されるサービス名を確認します。 一覧の最下部まで下にスクロールします。 コンピューターが Conficker に再度感染している場合、ランダムなサービス名が表示されます。 たとえば、この手順では、マルウェア サービスの名前は "Iaslogon" です。

以上の手順で問題が解決されない場合は、ウイルス対策ソフトウェアの製造元に問い合わせてください。
この問題の関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。

49500ウイルス対策ソフトウェア ベンダーの一覧ウイルス対策ソフトウェア ベンダーを利用していない場合、またはウイルス対策ソフトウェア ベンダーで解決できない場合は、Microsoft Consumer Support Services に問い合わせてください。

環境が完全にクリーンアップされた後

環境が完全にクリーンアップされた後は、以下の手順を実行してください。

1. Server サービスとタスク スケジューラー サービスを再度有効にする。

2. SVCHOST レジストリ キーと Tasks フォルダーの既定のアクセス許可を復元する。 グループ ポリシーの設定を使用して、これを既定の設定に戻す必要があります。 ポリシーが削除されただけである場合は、既定のアクセス許可に戻っていないことがあります。 詳細については、「軽減策の手順」の既定のアクセス許可の表を参照してださい。
   
   

3. 適用されていないセキュリティ更新プログラムをインストールすることにより、コンピューターを更新する。 このためには、Windows Update、Microsoft Windows Server Update Services (WSUS) サーバー、Systems Management Server (SMS)、System Center Configuration Manager (SCCM)、またはサードパーティの更新プログラム管理製品を使用します。 SMS または SCCM を使用する場合は、まず Server サービスを再度有効にする必要があります。 このようにしないと、SMS または SCCM はシステムを更新できない場合があります。