W32/Sdbot.worm!が駆除できない

http://www.mcafee.com/japan/security/virS.asp?v= …
このウィルスにかかってしまいました。
説明文にあるとおり、駆除できそうなソフトを強制終了させてしまうので駆除できません。
リカバリ以外で駆除する方法は無いのでしょうか？

レジストリを一つ一つ消していっても意味が無いのでしょうか？

No.3 回答者： ryu-fiz 回答日時： 2006/09/04 22:25

No.2で紹介したシマンテックやトレンドマイクロのページにはより実践的な対処法が記されています。

これらをよくお読みになれば、自力でも対処可能だと思ったのですが…。きちんと読むことが出来れば、必ずしもレジストリエディタによるエントリ修正が大前提にならないことはお分かりになったかも知れません。


まず、作業中はお使いのパソコンは極力ネットから切り離しておくことが望ましいです。それと、XP/Meをお使いの場合はシステムの復元を一旦無効にしてください。

次に、サービスとして起動しているウイルス本体を終了させます。次のいずれかで終了可能だと思います。

１）Ctrlキー、Altキー,Deleteキーの３つを同時押しでタスクマネージャーを起動します（2000/XPの場合出たダイアログから起動出来ます）。
起動後、次のうちのいずれかが表示されていたら終了させます。

javanet.exe
msjava.exe
xpjavams.exe
wunosjava.exe
creative.exe
netapi.exe
msguard.exe
javaapplets.exe
jconsole.exe
winservnt32.exe

２）『サービス』の一覧からも停止が出来る可能性があります。
Windows2000の場合は、コントロールパネル→『管理ツール』→『サービス』とクリックすると『サービス』の一覧が出ます。Windows XPの場合は『ファイル名を指定して実行』から"msconfig"を入力してOKを押すと起動する『システム構成ユーティリティ』の『サービス』タブをクリックします。

次のような名称のサービスがあったら、項目を右クリックして『停止』を選択してください。

ms java for windows xp & nt
Ms Java for Windows NT
MS Java Applets for Windows NT, ME & XP
Sun Java Console for Windows NT & XP

３）トレンドマイクロが提供する『システムクリーナー』を使っても、ウイルスの活動を停止することが出来る可能性があります。
http://www.trendmicro.co.jp/esolution/solutionDe …

ただし、トレンドマイクロの提供情報は数種類あると思われるファイル名のうちの一つにしか言及していないため、停止に失敗する可能性も残されています。出来れば手動での停止が望ましいです。
なお、このウイルスは基本的に『サービス』として起動するため、タダ単にシステムをセーフモードで起動させただけでは開始状態になるのを避けられない可能性があります。

ウイルスの活動を停止させることに成功したら、ウイルス対策ソフトを使って全体スキャンを行い、検出されたものを全て削除してください。
マカフィーをお使いの場合、可能な限り改変されたレジストリキーの修復も行うようですが、シマンテックの報告によるとファイル名の異なるものが数種存在するようなので、場合によってはレジストリの改変が残る可能性もあります。シマンテックおよびトレンドマイクロの文書も参考にして、残された改変がないかどうかチェックし、あれば手動で修正してください。

終わったら再度全体スキャンを行い、何も検出されなければ終了、でよろしいかと思います。

早めにMS06-040のセキュリティパッチを適用するようにしてください。でないと再感染を避けられない可能性があると思われます。

また、このウイルスは4915番ポートをOpenにしてネット上の第三者が自由に利用可能な『裏口』を作る場合があります。場合によっては感染を削除しただけではその裏口が塞がらないケースも考えられますので、ルーターをお使いでない場合には、
http://eazyfox.homelinux.org/Security/special/Br …
を参考にしてTrojan Scanを受けておかれた方がよろしいかと思います。
メーカー製対策製品のファイアウォールをお使いなら、全てのポートがBlockedになることが望ましいです。一部がClosedになるケースもあるかも知れませんが。もし、Openと表示されるポートが一つでも見つかった場合は、対策ソフトのメーカーサポートに対処法を訊いてください。最悪でも大抵の場合は、一旦アンインストール後再インストールすることで元通りの機能に戻ります。

ついでですから…
>同じ場所に貼り付けた後リネームというのはどうやるのでしょうか？
エクスプローラ上でファイルを右クリックし『コピー』後、同じウィンドウ上の空いたところで再び右クリックし『貼り付け』です。こうすることで通常は"コピー～ regedit.exe"というファイルがその場に生成される筈です。これをリネームして起動すれば邪魔されずに起動出来るだろう、というお話、でした。つまり、

>具体的に同じ場所というのがどちらだか示してもらえると助かります。
元々のregedit.exeがあったのと同じ場所、ということです。

もし、全く別の場所にコピーを作ると、もし『ファイル名を指定して実行』から実行するとなるとフルパス、つまりファイルのある場所を正確に指定しないと実行できません。思いつきで適当な場所に作ると後で始末を忘れてゴミになるかも知れないですし。

この回答へのお礼

回答ありがとうございます。

タスクマネージャーの方とコントロールパネルの方から見てみたのですが、
それらしいファイルが無いんです。
何か他の名前になっているのでょうか？
見分け方はありますか？

システムクリーナーもウィルスの影響で途中で閉じてしまいます。

お礼日時：2006/09/04 23:33

No.2 回答者： ryu-fiz 回答日時： 2006/09/04 18:49

新たな情報を見つけました。

http://bbs.hotfix.jp/ShowPost.aspx?PostID=5726#5 …
http://www.symantec.com/region/jp/avcenter/venc/ …
http://www.trendmicro.co.jp/vinfo/virusencyclo/d …

この回答へのお礼

回答ありがとうございました。
レジストリをちまちま消してみたんですが、その時は消えたように見えても、
次のを消す作業をしてまた同じところに戻ってみるとさっき消したはずのものがまた出てきてしまう状態です。

やはりリカバリするしかないのでしょうか？

お礼日時：2006/09/04 20:54