このページの本文へ移動
  1. ホーム >
  2. FMVサポート >
  3. Q&A・パソコン活用情報をコーナーから探す >
  4. ウイルス・セキュリティ情報 >
  5. 重要なお知らせ >
  6. Sasserウイルス(ワーム)に感染した場合の復旧方法 Windows 2000の場合
ウィルス/セキュリティ情報
2004年5月7日掲載
2004年5月14日更新
富士通株式会社
Sasserウイルス(ワーム)に感染した場合の復旧方法 Windows 2000の場合

次のステップでSasserウイルス(ワーム)の駆除を行います。

ステップ1: パソコンの電源を切って、ネットワークケーブルを抜きます。
ステップ2: Sasserウイルス(ワーム)の動きを止めます。
ステップ3: 攻撃を受けた際の再起動を予防します。
ステップ4: 更新プログラムを適用します。
ステップ5: Sasserウイルス(ワーム)を駆除します。
ステップ6: ファイルを削除します。


ステップ1: パソコンの電源を切って、ネットワークケーブルを抜きます。

パソコンの電源を切り、ネットワークケーブルを外します。
ネットワークケーブルを外す手順について、代表的な例を説明します。
お使いのパソコンの各コネクタ、スイッチの場所や、ユーティリティの操作については、各製品添付のマニュアルをご覧ください。
 
電話線を外す
  内蔵モデムを使ってインターネットに接続している方は、内蔵モデムのLINE端子(DESKPOWERの場合)、またはモデムコネクタ(BIBLOの場合)に接続されている電話線(モジュラーケーブル)を外してください。
 
2003年夏モデル FMV-DESKPOWER CEシリーズの例
  2003年夏モデル FMV-DESKPOWER CEシリーズの図
   
2003年夏モデル FMV-BIBLO NBシリーズの例
  2003年夏モデル FMV-BIBLO NBシリーズの図
   
LANケーブルを外す
  ADSLやCATVなど、LANケーブルを使ってインターネットに接続している方は、パソコンに接続したLANケーブルを外してください。
 
2003年夏モデル FMV-DESKPOWER CEシリーズの例
  2003年夏モデル FMV-DESKPOWER CEシリーズの図
   
2003年夏モデル FMV-BIBLO NBシリーズの例
  2003年夏モデル FMV-BIBLO NBシリーズの図
   
2003年夏モデル FMV-DESKPOWER ホームサーバー機能内蔵モデルの例
  2003年夏モデル FMV-DESKPOWER ホームサーバー機能内蔵モデルの図
   
ワイヤレスLANの電波を停止する
  ワイヤレスLAN内蔵モデルをお使いの方は、ワイヤレススイッチまたはユーティリティで電波を停止してください。
 
2003年夏モデル FMV-BIBLO MGシリーズの例
  2003年夏モデル FMV-BIBLO MGシリーズの図
   
AirH″INをOFFにする
  AirH″IN内蔵モデルをお使いの方は、ワイヤレススイッチまたはユーティリティでAirH″INをOFFにしてください。
 
2003年夏モデル FMV-BIBLO LOOX Tシリーズの例
  2003年夏モデル FMV-BIBLO LOOX Tシリーズの図


ステップ2: Sasserウイルス(ワーム)の動きを止めます。
  1. パソコンの電源を入れ、以下の手順のとおり、セーフモードで起動します。
    1. パソコンの電源を入れます。
    2. 「Windows 2000 の問題解決と拡張起動オプションについては・・・」というメッセージが表示されている間に、キーボードの[F8]キーを押します。
      「Windows を起動しています・・・」画面

    3. 「Windows 2000 拡張オプションメニュー」が表示されます
      キーボードの[↑]キーと[↓]キーを使って「セーフモード」にカーソルを合わせ、[Enter]キーを押します。
      「Windows 2000 拡張オプションメニュー」画面

      メニューが表示されない場合は、パソコンが起動した後パソコンの電源を切り、手順a.に戻ります。
    4. 「オペレーティングシステムの選択」画面が表示される場合は、お使いのOSを選択して、[Enter]キーを押してください。
      「オペレーティングシステムの選択」画面

      しばらくすると、Windows 2000がセーフモードで起動します。
    5. 「Windows はセーフ モードで実行されています」と表示されます。
      「OK」をクリックします。
      「Windows はセーフ モードで実行されています」画面

  2. ウイルス(ワーム)のファイルを、削除します。
    1. [スタート]ボタンをクリックし、[検索]→[ファイルやフォルダ]をクリックします。
    2. [探す場所]に c:\winnt (Windowsがインストールされているフォルダ)を指定します。
    3. [ファイルまたはフォルダの名前]に、以下のリストに記載されている名称をそれぞれ入力し、[検索開始]をクリックします。
      該当ファイルが表示された場合は、削除します。(すべてのファイルを試すことをお勧めします)
      avserve*.exe
      skynetave.exe
      napatch.exe
      lsasss.exe
      (lsa のあとに s が3個です。" lsass.exe : lsaのあとにsが2個"というシステムファイルがありますので間違えないようにご注意ください)
    該当ファイルが表示されない場合は、Sasserワームに感染していません。引き続きステップ3に進んでください。

ステップ3: 攻撃を受けた際の再起動を予防します。

ホームサーバー機能内蔵の機種をお使いの方や、「ファミリーネットワークステーション」または「ファミリーネットワークステーション-T」経由でインターネットに接続される方は、それらにファイアウォールの機能が搭載されていますので、この操作は必要はありません。ステップ4に進んでください。
  1. [スタート]−[ファイル名を指定して実行]をクリックし、" cmd " と入力して、[OK]をクリックします。
  2. コマンドプロンプトで、以下のとおり入力します。
    echo dcpromo > %systemroot%\debug\dcpromo.log [Enterキーを押します]
    attrib +R %systemroot%\debug\dcpromo.log [Enterキーを押します]
  3. パソコンの電源を切ります
  4. 通信回線(LANケーブル、電話線)をパソコンに接続し、パソコンを起動します。(セーフモードではなく通常の起動です)

ステップ4: 更新プログラムを適用します。
  1. [スタート]ボタン→[すべてのプログラム]→[Windows Update]の順にクリックします。
  2. [更新をスキャンする]をクリックします。
  3. [更新の確認とインストール]をクリックします。
  4. [今すぐインストールする]をクリックします。
    他の修正プログラムとは別にインストールが必要な修正プログラムがあると表示された場合は、画面の指示に従って操作を続けてください。インストール終了後、手順1から再度Windows Updateを行ってください。
  5. 修正モジュールが自動的にダウンロードされ、お使いのパソコンにインストールされます。
    サーバーの混雑状況によっては、ダウンロードに時間がかかる場合があります。

ステップ5: Sasserウイルス(ワーム)を駆除します。

以下URLの「ステップ3:Sasserウイルス(ワーム)の感染の確認、および駆除をします」の手順を参考にしてください。 http://www.microsoft.com/japan/security/incident/sasser.mspx

Windows 2000の詳細な対策手順については、以下のURLも参考にしてください。
 
(ホームユーザー向け - Sasserウイルス(ワーム)に関する情報 Windows 2000 編)
  http://www.microsoft.com/japan/security/incident/sasser_2k.mspx


ステップ6: ファイルを削除します。

ステップ3で作成したファイルを削除します。ステップ3の手順1-2に従ってコマンドプロンプトを起動し、以下のとおり入力してください。
    attrib -R %systemroot%\debug\dcpromo.log [Enterキーを押します]
    del %systemroot%\debug\dcpromo.log [Enterキーを押します


※ 本内容は予告なく変更することがございます。
- 以上 -