ウイルス対策ソフトをご利用の場合、「トロイの木馬」を誤検出する記事があります。警告が出た際は、こちらの記事をごらんの上、お知らせいただければ幸いです。

« 2006年10月 | トップページ | 2006年12月 »

2006年11月30日 (木)

XPでつながらないプリンタ。

こちらは新しいパソコンにプリンタの接続をする作業です。

実を言うと、一度お伺いしていて、新しいパソコンに今までお使いの古いプリンタ( PM-880C )をつなごうとしたんです。
そのプリンタにつながっているケーブルを見てみると…。

こ、これは…パラレルケーブルじゃなかですか…( ̄△ ̄;

ご存知の方も多いことでしょうけど、最近のパソコンは、レガシーフリーの名の下に、シリアルポート(モデムなどの通信機器用コネクタ)とパラレルポート(主にプリンタ接続用コネクタ)が撤廃されているものがほとんどです。
でも、この時期のプリンタは、パラレルとUSBどちらでもいけるようになっていますので、物理的にはUSBケーブルでつなげることは可能です。

販売店の方は、今回の PM-880C が「WindowsXPでも対応できるかどうか」というポイントでしか確認をされていなかったようです…。
とりあえずCD-ROMはお持ちのようでしたので、手持ちのメンテ用USBケーブルで接続はできそうですが…。
まぁ、お客さんも詳しくない人でしたので、「お持ちのプリンタケーブルはパラレルかUSBか?」と聞かれても、おそらく答えられなかったでしょうねぇ。
パソコンは新品で買っていただいているわけですし、ケーブル自体はそんなに高くないものですし、こういう場合って、とりあえずサービスで付けてあげてもいいんじゃないかと思いますけどね…。
まぁそれは仕方ないとして。

実はケーブルだけの問題ではなかったのです…。

-------

CD-ROMを見てみたら…ん~、Meとか2000とかのドライバはあるようですが、XP用のドライバがあるとは書いてありませんねぇ。

どうやらこのプリンタ、XP登場直前のプリンタだったようです。

おそらく、メーカーサイトにはドライバーがあるはずです。しかし今回は、光ファイバーが開通前で、まだネット環境がないのです…。
2000とXPは、内部構造がNT系なので、かなり似通った部分がありますので、2000用のドライバでうまくいく場合が多いです。
仕方なく、とりあえず2000用のドライバをインストールです。

ドライバのインストールは完了しましたが…EPSONプリンタウィンドウのインストールが…あれれ?
ちっとも完了してくれません。

妙なエラーが出たのですが、とりあえず再起動です。

再起動すると…んんん??
なにやらまた「プリンタを認識しました」と出てきます。

プリンタフォルダを開いてみると…げげっ、 PM-880C が2つもあるよ!
プリンタのプロパティを開いて、テスト印字はできるんですが、再起動してみたら…またもや「プリンタを認識しました」です。

うーむ、こりゃまずい。
おまけにインク残量などの監視をするEPSONプリンタウィンドウも開かない。
プロパティのボタンから呼び出したら…なにやら16ビットサポートがどうとかエラーが出てくる。
∑( ̄□ ̄;

つ、つまりこれって…「この状況ではケーブルがあっても使えん」っちゅーこっちゃね…。
あちゃー…どうしましょ?

「うーん、まぁしょうがないね。どっちにしてもこれだとケーブルを買いに行かないといけないのと、また来てもらわないといけないしで、だったら新しいプリンタを買うことにしますよ」

いやぁ…お手数をおかけします。

-----

ということで本日の作業は、この新しいプリンタを接続する作業になります。
(長い前置きやな~)

新しいプリンタは、さすがにきっちりXP用ドライバがあります。当たり前やっちゅーねん。
でも、USBケーブルは、なぜか付属していません。
プリンタ単機能のものは、ほとんどがこうです。なんでかなぁ…。
どーしたわけか、コピー・スキャナ機能のついている複合機は、きっちりケーブルが付属しています。
おそらく、USB2.0が必須だからなんだろうけど…どうもなー。

別途お買い上げのケーブルを受け取り、それで接続して、問題なくプリントできました。
あ~良かった。

しかし前置きの長い記事だ(笑)。
とはいえ、実は今回のは前置きの方が重要なんですけどね…。

2006年11月30日(木) ソフトウェア不具合関連, ハードウェアアップグレード関連, ハードウェア不具合関連(プリンタ), パソコントラブル, パソコン・インターネット, 初期セットアップ関連, 印刷できない・印刷不良, 日記・コラム・つぶやき | | コメント (0) | トラックバック (0)

2006年11月26日 (日)

隊長!ノートンがインストールできません!

こちらはインターネット接続とメール障害ということでお伺いです。
先のトラブルが長引いた上に、次の案件までにあまり時間的に余裕のない中での対処となりました。

お伺いしてみると、お使いのプロバイダ(USENマンションタイプ)のウイルス対策ソフト(ノートン)をインストールしようとしたら、すぐにインストーラーが止まってしまう、という現象。
メールは受信まではできるけど送信ができない、という現象。

うーむ…なんじゃこりゃ??

-------

おそらくなんらかのマルウェア(悪性ソフト)の仕業なんだろうけど、ノートンがインストールできないとなると、そのほかのソフトか手動での削除しかない。
インターネット接続が怪しいので、とりあえずHijackThisで起動項目の確認です。
最近主流の「トロイの木馬」タイプのマルウェアは、大体はこういう起動項目に組み込まれています。
ということでチェックしてみたら…

Logfile of HijackThis v1.98.2
Scan saved at 18:17:34, on 2006/11/26
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Sony\HotKey Utility\HKserv.exe
C:\Program Files\Wireless Desktop\LgWDskTp.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Program Files\Drag'n Drop CD+DVD\BinFiles\DragDrop.exe
C:\Program Files\Sony\Do VAIO Remocon\AvRmtCtr.exe
C:\Program Files\Sony\VAIO Update\VAIOUpdt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Program Files\Sony\VAIO Action Setup\VAServ.exe
C:\Program Files\Sony\SonicStage Mastering Studio\Audio Filter\SSMS.exe
C:\Program Files\Sony\VAIO Entertainment\VzTrayIcon.exe
C:\Program Files\Sony\VAIO Launcher\Launcher.exe
C:\Program Files\Common Files\Sony Shared\VAIO Entertainment\VzCdb\VzFw.exe
C:\Program Files\Sony\VAIO Entertainment\VzTaskScheduler.exe
C:\Program Files\Common Files\Sony Shared\VAIO Entertainment\VzRs\VzRs.exe
C:\Program Files\Common Files\Sony Shared\VAIO Entertainment\VzCs\VzHardwareResourceManager\VzHardwareResourceManager.exe
C:\Program Files\Sony\HotKey Utility\HKWnd.exe
C:\WINDOWS\System32\taskmgr.exe
C:\WINDOWS\System32\msiexec.exe
C:\DOCUME~1\Owner\LOCALS~1\Temp\NAV14.0.0.89\Support\Reporter\Reporter.exe
C:\WINDOWS\System32\irdvxc.exe
C:\Documents and Settings\Owner\デスクトップ\起動項目チェックツール\HijackThis.exe

F2 - REG:system.ini: Shell=Explorer.exe bootini.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,bootini.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Program Files\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [LgWDskTp] C:\Program Files\Wireless Desktop\LgWDskTp.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [Drag'n Drop CD+DVD] C:\Program Files\Drag'n Drop CD+DVD\BinFiles\DragDrop.exe /StartUp
O4 - HKLM\..\Run: [VAIORemoconUtility] "C:\Program Files\Sony\Do VAIO Remocon\AvRmtCtr.exe"
O4 - HKLM\..\Run: [IMJPMIG9.0] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMJP9\IMJPMIG.EXE /Preload /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [VAIO Update] C:\Program Files\Sony\VAIO Update\VAIOUpdt.exe -backgroundMode
O4 - HKLM\..\Run: [Microsoft Windows] bootini.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microsoft Windows] bootini.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O8 - Extra context menu item: Microsoft Excel にエクスポート(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun の Java コンソール - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: リサーチ - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.vaio.sony.co.jp/
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: msjwwdat - {BAAB02DC-913E-40AA-B9ED-8068DEE42CFA} - C:\Program Files\Microsoft Office\Home Style\JWW\JWWData.dll


んあ~、出たよ出たよ、bootini.exe。
起動名が「[Microsoft Windows] bootini.exe」だなんて、怪しすぎます。
わざわざそんな名前の起動項目なんて、Windowsのファイルが使うわけないやん…。

これ、以前も遭遇したことがあるんですが、以前は時間切れで駆除し切れなかったんですよねぇ。
かなりしつこいです。
HijackThisでFIXしたところで関係なし。すぐに復活します。
コイツは単に起動項目をFIXしただけじゃダメなんですよねぇ。
ということで、「bootini.exe」と「irdvxc.exe」を探しますが…見当たりません。
きっちり「隠しファイル」になって隠れていますから。なんていやらしい…。
「隠しファイルも表示する」という設定に変えてようやく発見。
拡張子を .exe から .ex_ に変更して、起動しないように抑えておいてWindowsを再起動。
なんとか起動項目から消えたところで、ノートンのインストールです。

…おおっ!インストーラーがちゃんと動いたよ!!
なんていやらしいマルウェアだ…ノートンのインストールを阻止するなんて…。
ノートンがきちんとインストールできたところで、ウィルススキャンです。

カテゴリ: セキュリティリスク
●日時,機能,リスク名,結果,項目の種類,ウイルス定義のバージョン,製品バージョン,ユーザー名,コンピュータ名,詳細

●2006/11/26 19:34:23,ウイルススキャナ,W32.Randex.GEL,完全に削除しました,ファイル,2006.11.25.003,14.0.0.89,SYSTEM,YOUR-COMPUTER,"発生源: c:\wintask32.exe,リスクのカテゴリ: ウイルス,リスク全体の影響: 高,適用した処理: 完全に削除しました"
●2006/11/26 19:34:23,ウイルススキャナ,W32.Randex.GEL,完全に削除しました,ファイル,2006.11.25.003,14.0.0.89,SYSTEM,YOUR-COMPUTER,"発生源: c:\WINDOWS\system32\38072_netapi.exe,リスクのカテゴリ: ウイルス,リスク全体の影響: 高,適用した処理: 完全に削除しました"
●2006/11/26 19:34:23,ウイルススキャナ,W32.Rahack.H,完全に削除しました,ファイル,2006.11.25.003,14.0.0.89,SYSTEM,YOUR-COMPUTER,"発生源: c:\WINDOWS\system32\irdvxc.ex_,リスクのカテゴリ: ウイルス,リスク全体の影響: 高,適用した処理: 完全に削除しました"
●2006/11/26 19:34:23,ウイルススキャナ,Backdoor.Ranky.X,完全に削除しました,ファイル,2006.11.25.003,14.0.0.89,SYSTEM,YOUR-COMPUTER,"発生源: c:\WINDOWS\system32\config\systemprofile\local settings\temporary internet files\Content.IE5\MI0W157T\3hzo6b[1].jpg,リスクのカテゴリ: ウイルス,リスク全体の影響: 高,適用した処理: 完全に削除しました"
●2006/11/26 19:34:23,ウイルススキャナ,W32.Randex.GEL,完全に削除しました,ファイル,2006.11.25.003,14.0.0.89,SYSTEM,COMPUTER,"発生源: c:\WINDOWS\system32\01647_netapi.exe,リスクのカテゴリ: ウイルス,リスク全体の影響: 高,適用した処理: 完全に削除しました"
●2006/11/26 19:34:23,ウイルススキャナ,W32.Rahack.H,完全に削除しました,ファイル,2006.11.25.003,14.0.0.89,SYSTEM,YOUR-COMPUTER,"発生源: c:\WINDOWS\system32\.exe,リスクのカテゴリ: ウイルス,リスク全体の影響: 高,適用した処理: 完全に削除しました"
●2006/11/26 19:34:23,ウイルススキャナ,Backdoor.Ranky.X,完全に削除しました,ファイル,2006.11.25.003,14.0.0.89,SYSTEM,YOUR-COMPUTER,"発生源: c:\documents and settings\localservice\local settings\temporary internet files\Content.IE5\6ALR6HI5\3hzo6b[1].jpg,リスクのカテゴリ: ウイルス,リスク全体の影響: 高,適用した処理: 完全に削除しました"
●2006/11/26 19:34:22,ウイルススキャナ,W32.Randex.GEL,完全に削除しました,ファイル,2006.11.25.003,14.0.0.89,SYSTEM,YOUR-COMPUTER,"発生源: c:\bootini.exe,リスクのカテゴリ: ウイルス,リスク全体の影響: 高,適用した処理: 完全に削除しました"
●2006/11/26 19:34:22,ウイルススキャナ,Tracking Cookie,削除を試みていません,ファイル,2006.11.25.003,14.0.0.89,SYSTEM,YOUR-COMPUTER,"発生源: ,リスクのカテゴリ: cookie,リスク全体の影響: 低,適用した処理: 削除を試みていません"


うーむむむ。

W32.Randex.GEL :Symantec Security Response
これが今回のbootini.exeの正体らしいです。
c:\wintask32.exe
c:\bootini.exe
c:\WINDOWS\system32\01647_netapi.exe
c:\WINDOWS\system32\38072_netapi.exe
この4つがそうだったようです。
こちらは、2006年9月にセキュリティ修正がかかったセキュリティホールを狙ったものです。
Server サービスの脆弱性により、リモートでコードが実行される (921883) (MS06-040) :MicrosoftTechNet
[MS06-040] Server サービスの脆弱性により、リモートでコードが実行される :Microsoftサポートオンライン
セキュリティ修正がなされていないとやられてしまうわけですね。
いかに日ごろのWindowsUpdateが重要かを思い知らされるものですね。

W32.Rahack.H :Symantec Security Response
これが今回のirdvxc.exeの正体らしいです。
サイトに載っているファイル名が違うようですが…。
上のファイル削除ログでは、手動で拡張子を変更したものを検出していました。
c:\WINDOWS\system32\irdvxc.ex_
他にも、
c:\WINDOWS\system32\.exe
という、ファイル名のないファイルを検出してました。

Backdoor.Ranky.X :Symantec Security Response
こちらは別のウイルスによってダウンロードされるものらしいのですが、
c:\documents and settings\localservice\local settings\temporary internet files\Content.IE5\6ALR6HI5\3hzo6b[1].jpg
c:\WINDOWS\system32\config\systemprofile\local settings\temporary internet files\Content.IE5\MI0W157T\3hzo6b[1].jpg
このファイルの場所から考えると、どうもホームページの閲覧で入り込んだものではないかとも考えられます。
油断もスキもないですねぇ。
インターネット一時ファイルって、こういうものの入り口になりやすいので、定期的に削除するか、容量を必要最小限に設定しておく必要がありますね。

さて、これでウィルスがいなくなったので、メールのトラブルも解決しているだろうと思ったんですが…。

なんとメールに関しては解決していません!

どうやらウィルスとは別の要因だったようです…。
しかし、今日は次のお客さんがあるので、取り急ぎ引き上げる必要がありました。
とりあえず、プロバイダのWEBメール機能をご案内し、なんとか送信はできることをお伝えして引き上げです。
こちらはまた日を改めて対処する必要があります…。
なんとも後味の悪い作業です。
次回へつづく。

2006年11月26日(日) ウィルス・スパイウェア関連, ソフトウェア不具合関連(セキュリティホール), ネットにつながらない・遅い, パソコントラブル, パソコン・インターネット, 日記・コラム・つぶやき | | コメント (0) | トラックバック (0)

2006年11月24日 (金)

HDDを破壊せよ!

こちらは廃棄するパソコンに個人情報のデータがあるため、ハードディスクの取り出しと破壊(!!)をご希望とのこと。

ハードディスクには、いろんな情報が保存されています。
よく言われるのは、

「私は初心者だから、そんなに使ってないし、盗まれるようなデータなんてないよ」

という声。

それ、まちがいです。
(関西だけのCMですが、最近、唐沢寿明がCMでそういうセリフ言ってますので…(笑))

メーカー製パソコンなら、いろんなソフトが入っていますので、それぞれのシリアル番号・プロダクトIDなどがありますので、それを抜かれると、違法コピー利用者にタダで使わせることになる場合があるのです。
それに、年賀状印刷で使っていたら、少なからず住所氏名などの個人情報を抜かれることにもなるのです。
とまぁ、見えないところで著作権者の権利を侵害する片棒を担ぐことになったり、ご自身の信頼を失墜させる原因にもなりかねません。
ですので、パソコンを廃棄する場合には、必ずハードディスクを何らかの形で処分しなければなりません。

買い取りに出すなどのことを考えないのであれば、今回のように「ハードディスクを破壊する」というのがもっともお手軽で現実的な選択となるでしょう。

…前置きが長くなりました。
作業開始です。

-------

まずはパソコンの筐体を開けて、ハードディスクを取り出します。

今回のパソコンは富士通のWindowsMe機ですので、素直なつくりの箱で、開けるのにそれほど苦労はしませんでした。
問題のハードディスクを取り出し、いよいよ破壊作業です。

単純なところでは、ハードディスクの外側からハンマーでガンガン叩いておけば、それだけで壊れてしまいますから、それでもいいんですが、やはり相手は初心者ですので、わかりやすくアクセス不能になったことをお見せしなければなりません。

ということで、ハードディスクのフタを開けることに。

しかし、ハードディスクのフタのネジの頭は、ほとんどの場合は星型のトルクスネジです。
一応、精密ドライバーのマイナスドライバーで回せなくはないのですが…隅のネジを外したところで、ドライバーの端が欠けてしまいました。
やっぱり100円ショップの安物じゃダメですね…。

3.5インチのハードディスクドライブの場合、ディスクのシャフト部分とアクセスヘッドの支点部分にもフタに固定されているネジがあります。
手持ちの工具では、どうしてもこれらが外せなかったので、仕方なく、フタをひん曲げてディスク部分を露出させました。

ハードディスクを開けたところ

ここまでひん曲げるのに、半端じゃない力が要りました…。
ハードディスクの原理的には、こうして通常の家庭環境で開けてしまった時点で修復不能な状態に陥ってしまうわけですが、きちんとわかりやすくするために、ディスク自体を破壊する必要があります。

最近は、プラッタ(ディスクそのもの)がガラスでできているものもある、と聞いたことがあるので、もしかしたら単純に叩けば壊れてくれるかな?と思ったんですが…。

叩いたぐらいでは破壊されませんでした。
どうやら母材はアルミ合金か何かでしょうね。

しかたない、とにかくフタと同様、ひん曲げておけばいいか。
ミクロン単位で読み書きするディスクですから、ちょっとでもゆがみが出たら終わりのはずです。
ということで、フタをひん曲げるのに使ったペンチをまた使って、ディスクをひん曲げることにしました。

ディスクをひん曲げたところ

フタと同様、半端じゃなく固かったです…。
まぁ、ミクロン単位の精度を維持する必要がある部分ですから、これぐらい固くなければダメなんでしょうけどね。
さて、これでもうこのディスクに書かれたデータは読み出し不可能になりました。
作業的には、あんまりかっこよくないですけどね。

次から、こういう時のためのトルクスドライバーを用意しておこうかなぁ。
「ハードディスクの破壊をします」と言いながら、フタをちゃっちゃか手際よく外し、プラッタを取り外し、サンドペーパーなどで表面をこすりまくって、ハイ完了。
ってな感じで…。

2006年11月24日(金) データ救出・バックアップ, パソコントラブル, パソコン・インターネット, 企業(メーカー・プロバイダ等)の姿勢, 初期セットアップ関連, 日記・コラム・つぶやき | | コメント (3) | トラックバック (0)