Windowsロゴが出た後、真っ黒の画面にマウスカーソルだけ。はNortonが入っていても…。 : パソコントラブル出張修理・サポート日記

ウイルス対策ソフトをご利用の場合、「トロイの木馬」を誤検出する記事があります。警告が出た際は、こちらの記事をごらんの上、お知らせいただければ幸いです。

2009年11月19日 (木)

Windowsロゴが出た後、真っ黒の画面にマウスカーソルだけ。はNortonが入っていても…。

こちらは引き取り修理のお客様。
毎度同じく、「画面真っ暗でマウスカーソルしか出てない」という症状。

ウチは宅配便による送付での引き取り修理も受け付けておりますので、全国から問い合わせが来てます。
特にここ最近は、この現象によるものが非常に多い状態です。

当社のご案内サイト pcdoc.jp のメールフォームからのメールをいただき、電話とメールにて問診などをさせていただき、

データは消さない方向で作業はしますがデータ保全の100％保証はいたしかねるということ
リカバリしない方向で作業はしますがリカバリせずに復旧できる保証はいたしかねるということ
データのバックアップは可能ですがご希望のデータが取り出せるとは限らないということ

などをお伝えして、クロネコヤマト便にて送っていただきました。

パソコン宅急便　：ヤマト運輸

一般的なノートパソコンの場合、クロネコヤマトの営業所で「BOX-A」という箱を600円で販売していますので、その箱で安全に送ることができます。
パソコン自体の重さや添付品の重さや、発信元から当社までの距離で違ってきますが、ノートパソコン本体とACアダプタ程度なら、片道1500円程度＋BOX-Aの箱代600円で送付可能です。

ということで、お客様からノートパソコンが到着したのでチェック開始です。

今回は、修復の過程を画像入りでお届けいたします。

-----

電源を入れてみたら…メーカーロゴの後、（前回が強制終了なので）「ご迷惑をおかけしております」画面で「通常起動」を選び、Windowsロゴの後、真っ暗画面にマウスカーソルがぽつん…。
そこから全く変化がありません。

はい、典型的なGENOウイルス、Daonol、gumblarの症状です。
まぁ、GENOウイルス全てがこうなるわけでもないですが…。

それでは早速、VistaのDVD-ROMをセットして、パソコンを再起動。

※注意
この作業で当該の症状が改善されることを保証するものではありません。
実施される場合はあくまで自己責任でお願いします。
実施されて、どんな結果に終わっても、当方は一切関知いたしません。
結果についての質問もお受けいたしません。

Press any key to boot from CD or DVD ...

ということで、ここでほたっておくとハードディスクから通常起動を始めてしまいますので、Enterキーなりスペースキーなりを押します。

Windows is loading files...

てな具合にDVD-ROMを読み込み始めて…。

Windows Vistaのセットアップ初期画面になります。
「次へ」を押してみたら…。

ここで「今すぐインストール」をクリック…いやいや(笑)。
左下の「コンピュータを修復する（R）」をクリックです。お間違えなきよう。

システム回復オプションが、すでにインストール済みのVistaを探してくれます。
いや、XPのパソコンなんで無駄なんですが…。

当然のようにVistaは検知しませんので、そのまま「次へ」をクリック。

回復ツールの選択画面になりますので、ここでは「コマンドプロンプト」を選択。

ここで例の3つのコマンドを入力です。

copy□c:\windows\system32\config\software□c:\windows\system32\
config\software.daonol
(万が一に備え、レジストリハイブの「software」を、名前を変えてコピー)

reg□load□HKLM\infected□c:\windows\system32\config\software
(感染している「software」レジストリハイブを読み込み)

reg□delete□"HKLM\infected\Microsoft\Windows□NT\CurrentVersion\
Drivers32"□/v□midi9□/f
(感染ファイルの起動レジストリを削除)

※ コマンド内の □ は半角スペースです。
　　行が長いのでコマンドは折り返してあります。

3つ目のコマンドで「この操作を正しく終了しました。」とならなかった場合は、コマンドの打ち間違いか、残念ながら今回のウイルスではありませんので、この手順では改善できません。
「この操作を正しく終了しました。」と出たなら、おめでとうございます。今回のウイルスにほぼ間違いありません。

いずれにしても、exitと打ち込んでコマンドプロンプトを終了です。

システム回復オプションの画面に戻りますので、右下の「再起動（R）」ボタンをクリック。

再起動がかかったら、DVD-ROMを抜いてしばし待ちます。

コレがまたヘンに長く感じてしまいます…。

例の真っ暗画面に突入して、次の瞬間！

「ようこそ画面」前のユーザー選択画面と相成りました。

これで一安心です…。

-----

タスクトレイを見てみると…ノートンの最新版が入ってます。
最新版が入っているのに…はて？

とりあえずスキャンをかけてみたら…いくつも出てきましたねぇ…。

Trojan.FakeAV　危険度 1: ほとんど影響なし　：Symantec セキュリティレスポンス
Trojan.Virantix　危険度 1: ほとんど影響なし　：Symantec セキュリティレスポンス

こっちは偽セキュリティソフトが2種類も。
相変わらず「ほとんど影響なし」とか、過小評価です…。

W32.Gammima　危険度 1: ほとんど影響なし　：Symantec セキュリティレスポンス

このワームが実行されると、次のファイルとして自分自身をコピーします。
%Windir%\Help\D563BA79B410.exe
[ドライブ文字]:\Shell.exe
続いて、このワームは次のファイルを作成します。
[ドライブ文字]:\autorun.inf

注意: ファイル Shell.exe と autorun.inf は、コンピュータに新しいドライブが追加されるたびに作成されます。

[中略]

このワームは、Internet Explorer を監視し、次の情報を盗み取ります。
MapleStory オンラインゲームのアカウントとパスワード
ゲームのロールとアイテム情報
盗み取られた情報は、電子メールと HTTP を介して作成者に送信されます。

…（￣△￣；
どこが「ほとんど影響なし」ですか…Autorunで広げまくりじゃないですか…。

しかし、例のGENOウイルスは検出してませんねぇ…。

よくよく考えたら、こういったワームの存在を懸念して、まだネットにつないでませんでした。
改めてネットにつないで、パターンファイルの更新をかけました。
で、再度スキャンしてみたら…。

Bloodhound.PDF.17　危険度 1: ほとんど影響なし　：Symantec セキュリティレスポンス

Bloodhound.PDF.17 は、Adobe Acrobat の脆弱性を悪用して悪質な操作を行う可能性がある、潜在的に悪質なファイルのヒューリスティック手法による汎用検出名です。

…（￣△￣；
やっぱり出ましたか…。

それにしても、何が「ほとんど影響なし」だよ…。
んなわけねーじゃんよ…。

お客様に問診したところでは、この検出パターンをリリースした日と発生日が非常に微妙です。

Rapid Release 初回バージョン 2009 年 10 月 29 日改訂 024
Rapid Release 最新バージョン 2009 年 10 月 29 日改訂 024
Daily Certified 初回バージョン 2009 年 10 月 29 日改訂 025
Daily Certified 最新バージョン 2009 年 10 月 29 日改訂 025
Weekly Certified 初回リリース日 2009 年 11 月 4 日

ちょうどこの「Weekly Certified」の日前後だとお聞きしてます。

これはたまたま更新がちょっと遅れたがために感染してしまったという、本当に不運な事例と言えます…。

「『ウイルス対策ソフトが入っているから大丈夫！』と過信はできない」という典型的な事例だということです…。
皆さん、気をつけましょう…。といっても気のつけようがありませんが…。
気をつけるとすれば、

http://www.gred.jp/　：株式会社セキュアブレイン

こんなチェックサイトでチェックできたりしますが、なかなかねぇ…。

特に今回のお客様は、とある通販サイトを見ていて感染したらしいです。
普通に検索結果で飛んでいってコレですので、油断も隙もあったもんじゃないですね…。

とにかく、FlashPlayerの更新とAdobe Readerの更新をしてない人は今すぐ！ですね。

ちなみに、人気blogランキング参加中です。　よろしくお願いします。

2009年11月19日(木) 定番トラブル, ウィルス・スパイウェア関連, ソフトウェア不具合関連（セキュリティホール）, パソコントラブル, パソコン・インターネット, 企業(メーカー・プロバイダ等)の姿勢, 日記・コラム・つぶやき, 起動しない・起動が遅い | 固定リンク

« Windowsロゴが出た後、真っ黒の画面にマウスカーソルだけ。がVistaでも。 | トップページ | Windowsロゴが出た後、真っ黒の画面にマウスカーソルだけ。の対処をした後は…。 »

「定番トラブル」カテゴリの記事

結論：「ドライブを圧縮してディスク領域を空ける」は使ってはいけない。(2010.11.30)
SpywareDoctorはGoogleがお勧めしてま…ん？(2010.11.15)
Windows Live メールがまたなんかヘタこいてます。(2010.11.08)
起動しないパソコンからハードディスクのデータを取り出したければ…。(2010.11.09)
ウイルス対策ソフトは入れなきゃダメ？(2010.11.05)

「ウィルス・スパイウェア関連」カテゴリの記事

iTunes は、iTunes Store に接続できませんでした。ネットワーク接続がタイムアウトになりました。(2010.12.07)
Ahnlab Online Securityって？(2010.11.17)
SpywareDoctorはGoogleがお勧めしてま…ん？(2010.11.15)
ウイルス対策ソフトは入れなきゃダメ？(2010.11.05)
またお前かっ！(2010.11.01)

「ソフトウェア不具合関連（セキュリティホール）」カテゴリの記事

iTunes は、iTunes Store に接続できませんでした。ネットワーク接続がタイムアウトになりました。(2010.12.07)
Ahnlab Online Securityって？(2010.11.17)
SpywareDoctorはGoogleがお勧めしてま…ん？(2010.11.15)
XPのSP3化にかかる時間。(2010.11.03)
Windows XP(SP2)とWindows 2000のXデー。(2010.07.13)

「パソコントラブル」カテゴリの記事

iTunes は、iTunes Store に接続できませんでした。ネットワーク接続がタイムアウトになりました。(2010.12.07)
結論：「ドライブを圧縮してディスク領域を空ける」は使ってはいけない。(2010.11.30)
Ahnlab Online Securityって？(2010.11.17)
SpywareDoctorはGoogleがお勧めしてま…ん？(2010.11.15)
カーソルが手？(2010.11.13)

「パソコン・インターネット」カテゴリの記事

iTunes は、iTunes Store に接続できませんでした。ネットワーク接続がタイムアウトになりました。(2010.12.07)
結論：「ドライブを圧縮してディスク領域を空ける」は使ってはいけない。(2010.11.30)
Ahnlab Online Securityって？(2010.11.17)
SpywareDoctorはGoogleがお勧めしてま…ん？(2010.11.15)
カーソルが手？(2010.11.13)

「企業(メーカー・プロバイダ等)の姿勢」カテゴリの記事

Ahnlab Online Securityって？(2010.11.17)
SpywareDoctorはGoogleがお勧めしてま…ん？(2010.11.15)
カーソルが手？(2010.11.13)
Windows7での株価表示ガジェットは？(2010.11.11)
Windows Live メールがまたなんかヘタこいてます。(2010.11.08)

「日記・コラム・つぶやき」カテゴリの記事

iTunes は、iTunes Store に接続できませんでした。ネットワーク接続がタイムアウトになりました。(2010.12.07)
結論：「ドライブを圧縮してディスク領域を空ける」は使ってはいけない。(2010.11.30)
Ahnlab Online Securityって？(2010.11.17)
SpywareDoctorはGoogleがお勧めしてま…ん？(2010.11.15)
カーソルが手？(2010.11.13)

「起動しない・起動が遅い」カテゴリの記事

Ahnlab Online Securityって？(2010.11.17)
起動しないパソコンからハードディスクのデータを取り出したければ…。(2010.11.09)
パソコンが遅い原因は何？(2010.08.09)
起動しない古いPCで見てみるべき部分。(2010.07.17)
Windowsロゴが出た後、真っ黒の画面にマウスカーソルだけ。がVistaでも。またまた。(2010.05.19)

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/13757/46863276/void
↑トラックバックをいただく際は、最後の「/void」を抜いてください。お手数ですがよろしくお願いいたします。

※あまりにも無関係なトラックバックが多いため、当面はトラックバックの公開は承認制にしました。トラックバックを送っていただいてもすぐには反映されません。ご了承願います。

※トラックバックをいただく際は、この記事のURLを記事中に記載（もしくはリンク挿入）願います。
※この記事と無関係な内容であったり、明らかな宣伝もしくは宣伝活動目的と判断されるもの、トラックバック元がトップページへのリンクであるもの、もしくは当方が不適切と判断されたものは、公開の承認はなされません。あらかじめご了承願います。

この記事へのトラックバック一覧です： Windowsロゴが出た後、真っ黒の画面にマウスカーソルだけ。はNortonが入っていても…。:

はじめまして。いつも技術情報、お客様への対応姿勢等参考にさせて頂いています。

XPログオン直後に勝手にログオフする症状で、本サイトの別記事を参考にセーフモード、回復コンソールからレジストリ復元、userinit.exeの上書きと作業しましたが復元できませんでした。

この記事のVista起動ディスクでXPレジストリを編集する方法と「アットマークIT」のCUIでのレジストリ編集を参考に作業したところ、
hklm\software\microsoft\windows nt\currentversion\winlogon　に「Userinit」値が存在しなかったためc:\windows\system32\userinit.exe で追加してやったところ起動するようになりました。

ただし、動作が重くタスクマネージャが無効にされているなど正常動作している様子ではありませんでした。Norton360がウィルス駆除時に上記レジストリ値を誤って削除してしまったのかもしれません。

既知の情報でしたらすいません。ご参考になればと思います。

アットマークIT該当情報
http://www.atmarkit.co.jp/fwin2k/win2ktips/391cmdreg/cmdreg.html

投稿：なか | 2009/12/28 17:30:12

大変に細かな回答ありがとうございました。
新規ハードディスクを接続してのトラブルでした。
まだ、ウイルスかどうかわかりません
結構細かな操作であるため(私には)難しそうです。
ご返事をいただいたばかりで、実行していませんが
すぐに行う予定です。」

本当にありがとうございました。

投稿：鈴木 | 2010/01/11 7:34:33

コメントを書く

プロフィール

◎初めにお読みください

このブログは、「パソコンのトラブル情報の共有」という観点で、オフィス・オービットの対応したトラブル対処の経過等の事例を無償で公開しています。ここで行っているのは「トラブル情報の公開」と「ブログ管理人の考え方の記述」のみであり、特殊な事情を除き、コメント欄・メールなどで、個別トラブルに対し無償でのトラブル解決はできません。

このブログの記事は、個人情報・機密情報の保護の観点から「編集済み情報」で公開しています。100％の事実ではなく情報を伏せるための脚色を含みます。日付と内容は必ずしも一致しません。トラブルの現象と処置内容とその結果に関しては、一般市販品のパソコンでのものですので、似たような話や現象は、他の場所ででも発生し得ます。 ただし、同じ対処でトラブルが治るという保証をしているわけではありません。