HOME情報セキュリティ情報セキュリティ対策ウイルス対策ウイルスタイプ別の簡易な修復方法

本文を印刷する

情報セキュリティ

ウイルスタイプ別の簡易な修復方法

独立行政法人 情報処理推進機構
セキュリティセンター(IPA/ISEC)

ブートセクタ感染型ウイルスの修復方法

ウイルスに感染していない、「DOSシステムディスク」を用いてコンピュータを起動する。
(コンピュータにインストールされたものと同じバージョンが望ましい)
注意:ウイルスが動作する危険性があるので、コンピュータの起動後に、アプリケーションソフトや、ユーティリティを実行してはいけない。
システムディスクによっては、メニューやインストール機能が動作することがあるが、これらは中止もしくは終了させ、DOSプロンプト「A:\>」(Aはフロッピーディスクのドライブ名を表す)が表示されている状態にする。

A.感染したハードディスクの修復方法

オリジナルのシステムディスクからシステム転送を行って修復する。
注意:必ずコンピュータにインストールされたものと同じバージョンの物を使うこと。

コマンドラインから 「sys△C:」(△は半角スペースを表す、Cはハードディスクのメインドライブ名を表す)と入力しENTERキーを押す。
何もエラーメッセージが出ずに「A:\>」に戻ればブートセクタ部分の修復がなされたので、再度ウイルスチェックを行ってウイルス感染の無くなったことを確認する。

(IBM機及び互換機の場合は以下の方法でも可)
「FDISKコマンド」の/MBRオプションを利用し、ハードディスクのマスターブートレコードを再構築して修復する。

感染していないシステムディスクを使ってコンピュータを起動した後、「dir C:」と入力し、Cドライブのハードディスクが正常に認識できることを確認します。もし、Cドライブのハードディスクのディレクトリ表示がされない場合は、以下の方法は「決して」行わないこと。もし行うと、ハードディスクから起動できなくなる。MonkeyやExeBug等に感染した場合はこのような状態になる)

コマンドラインから「FDISK△/MBR」(△は半角スペースを表す)と入力しENTERキーを押す。
何もエラーメッセージが出ずに「A:\>」に戻ればブートセクタ部分の修復がなされたので、再度ウイルスチェックを行ってウイルス感染の無くなったことを確認する。

B.感染したフロッピーディスクの修復方法

感染ディスクの中に必要なデータがあるなら、別のディスクへ保存しておいて、感染したディスクを初期化する。
「DIRコマンド」で正常に確認できるファイルについては、コピーコマンドで退避できるため、初期化する前に別のディスクに保存することが可能である。
注意:感染したフロッピーディスクを初期化する場合は、「/U オプション」を使用すること。「/U オプション」を使用しないと、ブートレコード情報を保存したまま初期化してしまうため、ウイルスの駆除ができない。

コマンドラインから「format△A:/U」(△は半角スペースを表す、Aはフロッピードライブ名を表す)と入力しENTERキーを押す。
何もエラーメッセージが出ずに初期化が完了すれば、ブートセクタ部分の修復がなされたので、再度ウイルスチェックを行ってウイルス感染の無くなったことを確認する。

ファイル感染型ウイルスの修復方法

注意:以下に示す方法は感染ファイルの削除を行ってオリジナル等から再インストールを行うので、当該ファイルのオリジナルやバックアップ等が無い場合には不可。

ウイルスに感染していない「DOSシステムディスク」を用いてコンピュータを起動する。 (コンピュータにインストールされたものと同じバージョンが望ましい) 注意:ウイルスが動作する危険性があるので、コンピュータの起動後に、アプリケーションソフトや、ユーティリティを実行してはいけない。 システムディスクによっては、メニューやインストール機能が動作することがあるが、これらは中止もしくは終了させ、DOSプロンプト「A:\>」(Aはフロッピーディスクのドライブ名を表す)が表示されている状態にする。

  1. COMMAND.COMに感染している場合は、システムディスクから当該COMMAND.COMファイルの上書きを行って修復しておく。
    注意:必ずコンピュータにインストールされたものと同じバージョンの物を使うこと。
  2. ウイルスが感染した実行形式のプログラムファイル(拡張子が「.COM」や「.EXE」のファイル)を、「DELコマンド」で削除する。 コマンドラインから「DEL△感染ファィル名」(△は半角スペースを表す)と入力しENTERキーを押す。
  3. 削除した実行ファイルを、マスターディスク・バックアップディスクなどから、再インストール(またはコピー)して復旧する。

注意:バックアップから復旧する場合、バックアップ時期によっては、感染状態で保存した危険性を考慮し、「疑わしいバックアップ・マスターディスクからは復旧しない」、「感染の再調査を実施する」などの措置が必要である。 実行ファイルは、できる限り正式なインストールディスクから復旧するのが安全で ある。

Wordマクロウイルスの修復方法

(Normal.dot/標準.dotに感染したマクロウイルスの駆除)

Normal.dot/標準.dotにツール等のユーザーマクロを設定していない場合は、このファイルを削除するのがもっとも簡単で確実である。
マクロの設定をしている場合は、まず、メニューの「ツール(T)」から「マクロ(M)」を選択する。
(もし、メニューに「ツール(T)」がなかった場合は、メニューの「ファイル(F)」から「マクロ(M)」を選択する。)
画面にダイアログボックスが現れるので、「マクロの種類(A)」を「Normal.dot/標準.DOT(全文書対象のテンプレート)」に選択する。
次に「AutoOpen」のマクロを選択し、「削除(D)」ボタンを押し、「AutoOpen」マクロを削除する。
以下、このようにして、すべてのウイルスマクロを削除する。

ただしマクロウイルスの種類によっては、メニューの「ツール(T)」が利用できなくなっている場合があるので、この場合はNormal.dot/標準.dotを削除することになる。

(Wordの文書ファイルに感染したマクロウイルスの駆除)

まず、Shiftキーを押しながら感染したファイルを開く。(この動作により、文書を開いた時に実行される「AutoOpen」マクロの実行が防げる。)
次に、メニューの「ツール(T)」から「マクロ(M)」を選択する。(もし、メニューに「ツール(T)」がなかった場合は、メニューの「ファイル(F)」から「マクロ(M)」を選択する。)
画面にダイアログボックスが現れるので、「マクロの種類(A)」に感染しているファイル名のテンプレートを選択する。
「AutoOpen」のマクロを選択し、「削除(D)」を選択し、「AutoOpen」マクロを削除し文書ファイルを保存する。以下、このようにして、すべてのウイルスマクロを削除する。
ただしマクロウイルスの種類によっては、メニューの「ツール(T)」が利用できなくなっている場合があるので、この場合は下記の方法で修復することになる。

注意:下記に示す方法はユーザがマクロ機能を使用していない時に有効である。

<その他の方法1>

Windows 95/98/NT4.0を利用している場合は、「スタートメニュー/アクセサリ/ワードパッド」を選択し、ワードパッドを起動する。
感染したファイルを読み込み、「上書き保存」もしくは「名前を付けて保存」で保存する。
ただし、ウイルスを含むすべてのマクロは消失する。

<その他の方法2>

Windows 3.1またはマッキントッシュ環境では、ワードパッドプログラムが使えないので、MS-Wordを起動し、新規文書を作成し、「ファイル/名前を付けて保存」ダイアログで「ファイルの種類(T)」をリッチテキスト(RTF)形式で保存しておく。
次に、修復したい文書を読み込んだ後、カットアンドペーストでRTF形式の文書に全ての内容を写し取る。最後にRTF形式のまま保存する。ただし、ウイルスを含めた全てのマクロは消失する。

Excelマクロウイルスの修復方法

Excelマクロウイルスはエクセルのプログラムフォルダ内にある、XLStartフォルダの中にウイルスワークシートを作ることで感染する。
XLStartフォルダにあるワークシートファイルは、エクセルの起動時にすべて自動的に開かれるので、このフォルダにあるワークシートがウイルスワークシートでないか、検査して確認しておく必要がある。
Larouxウイルスはpersonal.xlsまたは、pldt.xls、NinjaウイルスはNinja.xls等のファイル名でウイルスファイルを作る。

(personal.xlsに感染したLarouxウイルスの駆除)

personal.xlsにマクロ等を設定していない場合は、このファイルを削除するのがもっとも簡単で確実である。
マクロの設定をしている場合は、まず、メニューの「ツール(T)」から「マクロ(M)」を選択する。
(もし、メニューに「ツール(T)」がなかった場合は、メニューの「ファイル(F)」から「マクロ(M)」を選択する。)
画面にダイアログボックスが現れるので、「auto_open」と「check_files」のマクロを1つずつ選択し、「削除(D)」ボタンを押し、「auto_open」ならびに「check_files」のマクロを削除する。
ただし、シートが非表示の場合は削除できないので、メニューの「ウィンドウ/ウィンドウ再表示」でpersonal.xlsを表示してから削除するようにする。
最後にメニューの「編集(E)」から「シートの削除(L)」を選択し、空になったlarouxシートを削除する。

(Excelの文書ファイルに感染したLarouxウイルスの駆除)

まず、Shiftキーを押しながら感染したファイルを開く。(この動作により、文書を開いた時に実行される「auto_open」マクロの実行が防げる。)
次に、メニューの「ツール(T)」から「マクロ(M)」を選択する。(もし、メニューに「ツール(T)」がなかった場合は、メニューの「ファイル(F)」から「マクロ(M)」を選択する。)
画面にダイアログボックスが現れるので、「マクロ名/参照(M)」で感染しているファイル名のテンプレートを選択する。
「文書ファイル名!auto_open」ならびに「文書ファイル名!check_files」のマクロを選択し、「削除(D)」を選択し、「文書ファイル名!auto_open」ならびに「文書ファイル名!check_files」のマクロを削除し文書ファイルを保存する。