ウイルス対策ソフトをご利用の場合、「トロイの木馬」を誤検出する記事があります。警告が出た際は、こちらの記事をごらんの上、お知らせいただければ幸いです。

« スパイウェアてんこ盛り。 | トップページ | スパイウェアてんこ盛り。続き。 »

2006年1月20日 (金)

勝手にログオフします。

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

※検索エンジン・質問掲示板経由でご覧の方へ
こちらの情報は2006年1月現在の情報です。
同じ現象でも同じ原因だとは限りません。
詳しくは、最後の「追記」をご覧ください。

前回の続きなんですが…えらいことです。

通常起動でもセーフモードでも、デスクトップが表示されたらすぐにログオフしてしまいます。
つまり、WindowsXPでの(マウスを使った)ファイル操作が一切できません。

直前の操作としては、Adware.BlazeFindAdware.NetOptimizerを手動で駆除したんですが…。

客先の作業でこんな状態にならなくて、本当に不幸中の幸いです。
とにかくこの現象から、ネット上の情報をかき集めなければなりません。
こういう場合には、きちんとインターネットのできる環境がある、自分の作業場は非常にやりやすいといえます。
何かあっても、突っ込んでいろいろ調べることができたり、ハードディスクを別のメンテナンスPCにつないでデータ抽出ができたり、いろいろ大胆に作業ができます。
お客さんの環境では、なかなかこうはいきませんから…。

どうやら同じ現象で悩んでいる人は、そんなに少なくなかったようです。

-----

いろんなキーワードを検索キーにかけて検索していると、同じように

・WindowsXPを起動しても、ようこそ画面からデスクトップが表示されて、すぐにログオフしてしまう。
・セーフモードで起動しても、やはり、すぐにログオフしてしまう。
・Ad-Awareなどでスパイウェアを駆除して再起動したらこうなった。

という内容の掲示板への質問書き込みがいくつも見られた。
こうなるとお決まりの

「リカバリしたら?」

というミもフタもない回答が幅を利かせる。
勘弁してくれ。
こっちは、お客さんからリカバリディスクもない状態で預かっているんだ。
そんなわけにはいかないんだ。

さらに突っ込んでいろいろ検索していると…おお!これか???

Wsaupdater.exe を削除した後に、 Windows XP にログオンできません。 :マイクロソフト サポートオンライン
BlazeFind / Search Assistant (Windows SA) (HJT DB) :【アダルトサイト被害対策の部屋】

つまりこういうことだ。

HijackThisのスキャンログとして検出される
F2 - REG:system.ini: UserInit=C:\Windows\System32\wsaupdater.exe,
という一文の記述との関連で、単純にwsaupdater.exeを削除してしまうと、WindowsXPにログオンできなくなる。

どうやらこれは、Ad-Awareで駆除を行なうと発生する現象らしい。
(ちなみに、Ad-AwareSEでは解決している…らしいが不明である)
だが、今回はシマンテックの英語サイトの情報を元に、手動で削除を行なっていたわけですが、シマンテック側の情報では、そういったことは書かれていなかった。
おそらく専用ツールもしくはアンチウィルスそのものでの対処の範囲との認識なのかもしれない。
でも、technical detailsにおいても記述がないというのは…。
まぁ、インターネット上の情報だけに、一箇所の情報だけで過信してはいけない、ということなのだろう。

とりあえず、修正方法は次の通り。

-----

通常の起動 および セーフモードでの起動が全くできないため、回復コンソールを使って操作することになります。

回復コンソールを実行するには :マイクロソフト サポートオンライン

今回のパソコンは、VAIOノートということで、またリカバリCD-ROMもないため、そのままでは回復コンソールを起動することは不可能です。
ここで取れる手段は2種類あります。

1)別のWindowsXPのCD-ROMを利用し、回復コンソールを起動。
2)マイクロソフトのサイトからWindowsXPのインストール用起動ディスクを入手して起動。

こちらは職業柄、WindowsXPのCD-ROMは持っていますので、それを使うことになるわけですが、もしない場合でも、マイクロソフトから入手できます。

Windows XP のインストール用起動ディスクを入手する方法 :マイクロソフト サポートオンライン

ここでは、フロッピーディスク6枚の分割ディスクでの供給になっています。
しかし、CD-ROMドライブが壊れているなどの事情でもない限り、フロッピー6枚は手間も時間もかかります。
そこで、フロッピー6枚をCD-ROM1枚にまとめて、起動CD-ROMを作る方法があります。

1CDブート回復コンソール作製法 :「すっきり!! デフラグ非公式ヘルプ」のページ

…もう、すばらしい!!の一言に尽きます。
こんなやり方があるなんて…。
ただ、WindowsXPのバージョンごとに違う起動ディスクが必要になるため、メンテナンス用ツールとして持つためには、HomeEditionだけで4種類、ProfessionalEditionだけで4種類、合計8種類持っていないと厳しいようです…。

今回はとりあえずそれは作らずに、純正のWindowsXPのCD-ROMから起動して実行しました。

  ・回復コンソールを起動し、c:\windowsにAdministratorでログイン。
  ・回復コンソールプロンプトから、「cd system32」と打ってEnter。
  ・「copy userinit.exe wsaupdater.exe」と打ってEnter。
  ・「exit」と打ってEnter、これで再起動がかかります。
  ・起動したら、レジストリエディタを起動。
  ・以下のレジストリを修正。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
誤:C:\windows\system32\wsaupdater.exe,
正:C:\windows\system32\userinit.exe,
※最後の半角カンマが重要です。

  ・再起動後、c:\windows\system32のwsaupdater.exeを削除。

-----

無事起動するようになりました。
非常に焦りました…。(^_^;)

さて、起動するようになったので、残りのスパイウェアの駆除です。
ということで次回へ続く。
また「続く」かよ(笑)。


※追記(重要!)

この情報は、2006年1月現在のものであり、特定の悪性ソフト(BlazeFind)によるものが原因の症状に対する対処です。
この症状自体は、他の要因でも発生します。この対処だけで直るとは限りません。
違う原因での復旧例を提示しておきます。

パソコントラブル出張修理・サポート日記: 勝手にログオフします。外科手術編

こちらはwsaupdater.exeが原因ではなかったようです。

追記:
2009年になっても、この症状の問い合わせが一定の割合でありますので、とりあえずやってみるべきことを追記しておきます。

2006年時点では、wsaupdater.exeが原因という事例はありましたが、その後は、userinit.exe自体がウイルス対策ソフトにて削除されたのが原因という場合がほとんどではないかと推測されます。
とりあえず、XPのCD-ROMに、元のuserinit.exeがありますので、それをコピーしてきたら直った、という事例がありますので、試してみる価値はあります。

  1. XPのCD-ROMで回復コンソールを起動
  2. cd \windows\system32
  3. ren userinit.exe userinit.old
  4. ↑で「ファイルがない」とエラーが出た場合は無視
  5. copy D:\i386\userinit.ex_ userinit.exe
  6. 再起動
これで復旧したら儲けものです。ダメなら「外科手術編」を参照してください。レジストリをいじったことのない初心者には、いささかお勧めいたしかねますが…。

ちなみに、人気blogランキング参加中です。 よろしくお願いします。

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

2006年01月20日(金) ウィルス・スパイウェア関連, ソフトウェア不具合関連, ハードウェア不具合関連, パソコントラブル, パソコン・インターネット, フリーズ・ブルースクリーン・再起動・電源切れる, 起動しない・起動が遅い |

« スパイウェアてんこ盛り。 | トップページ | スパイウェアてんこ盛り。続き。 »

ウィルス・スパイウェア関連」カテゴリの記事

ソフトウェア不具合関連」カテゴリの記事

ハードウェア不具合関連」カテゴリの記事

パソコントラブル」カテゴリの記事

パソコン・インターネット」カテゴリの記事

フリーズ・ブルースクリーン・再起動・電源切れる」カテゴリの記事

起動しない・起動が遅い」カテゴリの記事

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/13757/8419978/void
↑トラックバックをいただく際は、最後の「/void」を抜いてください。お手数ですがよろしくお願いいたします。

※あまりにも無関係なトラックバックが多いため、当面はトラックバックの公開は承認制にしました。トラックバックを送っていただいてもすぐには反映されません。ご了承願います。

※トラックバックをいただく際は、この記事のURLを記事中に記載(もしくはリンク挿入)願います。
この記事と無関係な内容であったり、明らかな宣伝もしくは宣伝活動目的と判断されるもの、トラックバック元がトップページへのリンクであるもの、もしくは当方が不適切と判断されたものは、公開の承認はなされません。あらかじめご了承願います。

この記事へのトラックバック一覧です: 勝手にログオフします。:

» UNMOUHTABLE_BIOT_VOLUME トラックバック manabiBlog
お客様から、ヘルプのメールが届きました。Windows XP のパソコンが起動出来ないとの事、予備のノートパソコンより、エラーメッセージの内容を書き写したメールを受け取りました。 エラーの内容は、以下... 続きを読む

受信: 2006/02/24 18:46:23

» PCが トラックバック osapan Presents
自分のPCの知識レベルからするとかなりの重症かなと思っていますが、 こんなブログを見つけました。 XPのCDが見つからないのでそれをまず探さなくては… ソースネクストにも 続きを読む

受信: 2006/03/25 11:39:56

» Ad-wareの駆除後にパソコンが不調になった トラックバック PC雑記帳
頼まれたPCの修理で、Ad-wareの駆除後にパソコンが不調になったとのこと。{%病院webry%} 見てみると起動のログイン後、すぐにログオフしてしまう症状。 ネットで調べてみると・・・ 続きを読む

受信: 2009/03/12 16:44:21

» chkdskしたらログオンしても速攻ログオフされた(続報) トラックバック 飛べない鳥は夜に啼く
IMGP0122.jpg, originally uploaded by da... 続きを読む

受信: 2009/09/05 12:02:02

コメント

お疲れ様です!ホンマにお疲れ様です!(笑)
WinMXやらWinnyやらShareやら使ってる方々は知らずにいろんなのを拾ってくる上に、ポートの開放も行ってるので、プログラム立ち上げてる時はジャックされ放題という危機に晒されてることをあまり心配されていませんもんね^^;
最悪、P2P使う時はFireWall外してまでやってる人も・・・。
完全なる自己責任範囲ですが、お仕事として承る以上、・・・大変ですよね^^;やっぱ。
自分の知り合いは以前、Winnyでノートンさんを落としてセキュリティソフト代を浮かそうとしたようですが、それ自体がウイルスという、本末転倒な事態を迎えました。パソコンはもらい物ということで「お亡くなり」になりましたが・・・。今なら力になれたかな~、と思います。でも、とにかく作業が膨大で預かって時間もらわないと手に負えなかった・・・orz
以上、長文失礼しましたm(_ _)m

投稿: kei | 2006/01/30 23:01:59

正:C:\WINNT\system32\userinit.exe,
※最後の半角カンマが重要です。

貴殿はサポタの鏡ですね。
参りました。そんなのわかんないよお。

投稿: p | 2006/01/31 7:32:04

kei さん
そうなんですよねぇ。リスクも何も考えずに「タダで音楽や映画がダウンロードできるから♪」というお気楽ユーザーのいかに多いことか。
そこにはフェイクやブービートラップがごろごろ転がっているというのに…。
それが公共施設に関わる仕事をしている人が使っていたりします。こうなると、自分がやられるだけでは済まないという意識がまるっきり欠如しているわけです。
規制をしてもいたちごっこですから、インターネットは利用者がきちんと意識を持って利用するべきなんですが…ねぇ。

p さん
私もわかりません(笑)。
信頼できる筋でこういう情報があるから、ということでやってるだけです。
それでも今回はシマンテックの英語サイトの情報にやられましたが…。

投稿: ささもと | 2006/01/31 9:09:50

誤記がありましたので修正しました。

誤記は以下の2行。
 誤:C:\WINNT\system32\wsaupdater.exe,
 正:C:\WINNT\system32\userinit.exe,
正しくは以下の2行。
 誤:C:\windows\system32\wsaupdater.exe,
 正:C:\windows\system32\userinit.exe,

今ごろ気づきました。
訂正しておきました…。

投稿: ささもと | 2006/03/25 14:16:52

情報、ありがとうございます。
近所の方にサポートを頼まれて、ほぼ同じ方法で回復できました。お子様がウィルスチェックの結果を見て全て削除されたそうで、元のウィルスが何だったかは不明です。
若干違ったのはuserinit.exeもwsaupdater.exeも無かったので、I386からexpandで展開した事でしょうか。
でも、この記事が無ければとても私ごときには回復できませんでした。本当に助かりました。

投稿: Y.Mita | 2007/04/08 19:30:27

 私も、あるウイルス対策ソフトの体験版をインストールした後に、ここで言われているような症状になりました。そこで「ログオフしてしまう」などといったキーワードを検索し、貴ブログにたどりつきました。
 具体的には、インストールCDを利用し userinit.exe のコピー(userinit.ex_ から userinit.exe に変えなくてはならなかった)、そして再起動、必要なファイルの救出ののち、ウィンドウズの再インストール(そもそも、前から不安定になっていた)と云うものですが、久しぶりにDOSの知識が役立つ場面となりました。
 もちろん、ここに述べられている内容も役立ちましたよ。ありがとうございました。

投稿: データが助かってよかった | 2008/02/08 0:41:11

こんにちは、以前Windowsアップデートはどこまで?と問い合わせをしたものです。
今回は友達のPCの復旧作業だったのですがまた記事の
おかげで復旧することができました。
ただHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
の下はどこを修正すればいいのかで迷いましたが(^^;)

一部できないところもありましたがそこは下記サイトでカバー。
http://nagabuchi.jugem.jp/?eid=132

ありがとうございました

投稿: たけ | 2008/09/12 23:57:17

サポートセンターにTELした結果も

「セーフモードで立ち上がらない場合は、リカバリしかありません。」

と断言されてしまい、それでもデータだけでも救出したい一身で検索し、こちらへたどり着きましたwww

まだ、これから作業をするのでうまくいくかわかりませんが、希望が見えましたshine

(サポートセンターのマニュアルにも「回復コンソール」載せてほしいものですwobbly

このサイトを元に、がんばってみますhappy02scissors

ありがとうございましたsmile

投稿: puripag | 2009/07/12 12:06:10

windows起動出来ないのにレジストリって開けるんですか?
よろしければ教えてください。

投稿: winDOU | 2010/07/22 12:15:25

winDOU さん

開けるか開けないかという質問であれば、開けないわけではないです。以下の記事をご参照願います。

http://orbit.cocolog-nifty.com/supportdiary/2010/02/windows-f473.html

「勝手にログオフ」の症状も、ウイルス対策ソフトに削除されたWinlogonレジストリの問題ということが増えているようですので、近頃はアプローチが違ってきています。
でも、「こうすれば必ず治る!」という「手順」は存在しません。
症状からあれこれチェックしていき、「これか?」というのが見つかる程度のもの。
ウチのブログの記事を参考にしていただくのはかまいませんが、注意書きにも書いている通りで、同じ手順で治ることは一切保証いたしません。実行は自己責任で。

投稿: ささもと | 2010/07/23 3:44:41

コメントを書く




※Spam対策のため、コメント公開時E-Mailは非表示となります。









※当面コメントは承認後の公開となります

« スパイウェアてんこ盛り。 | トップページ | スパイウェアてんこ盛り。続き。 »